24. Tätigkeitsbericht 2003 -Inhaltsverzeichnis

1. Abschnitt: Kommunales

1. Datenschutz nach Kassenlage

Mit der letzten Novellierung des Landesdatenschutzgesetzes im Jahr 2000 wurde auch für die öffentlichen Stellen im Lande etwas geregelt, was andernorts schon längst selbstverständlich war: Erstmals wurde in allgemeiner Form die Bestellung örtlicher Datenschutzbeauftragter vorgesehen. Dass dies nur auf freiwilliger Basis erfolgen sollte, hatte bereits mein Vorgänger mehrfach beklagt. An dieser Kritik halte auch ich fest. Ich möchte hier zwar nicht erneut in eine grundsätzliche Diskussion dieses Themas einsteigen. Für geboten halte ich es allerdings, die Entwicklungen nicht aus dem Auge zu verlieren und - wenn nötig - deutlich anzusprechen, wenn solche Entwicklungen aus Sicht des Datenschutzes in die falsche Richtung gehen.

Zunächst das Positive: Die unbestreitbaren Vorteile einer Datenschutzfachperson vor Ort haben offensichtlich viele überzeugt. Auch wenn keine genauen Zahlen vorliegen, so gibt doch die bei meiner Dienststelle eingehende wachsende Zahl von Anfragen zu Aus- und Fortbildungsmöglichkeiten durch neu bestellte behördliche Datenschutzbeauftragte einen deutlichen Hinweis darauf, dass sich ein Bewusstseinswandel vollzogen hat. Als Indiz hierfür sehe ich auch den Umstand, dass speziell für behördliche Datenschutzbeauftragte angebotene Grundlagenseminare aufgrund des enormen Andrangs kapazitätsmäßig ausgeweitet werden mussten. In persönlichen Gesprächen war festzustellen, dass die Betroffenen mit zum Teil großem Engagement an ihre neue Herausforderung herangehen. Zu hoffen bleibt, dass sie hierin von ihrer jeweiligen Dienststellenleitung nicht nur nicht gebremst, sondern vielmehr ausdrücklich unterstützt werden.

Dieses insgesamt eher positive Bild wird deutlich dadurch getrübt, dass sich gerade diejenigen, denen insoweit eine Vorbildfunktion zukommt, mehr oder weniger deutlich in Zurückhaltung üben. Zu denken ist hier konkret an die großen Städte im Land.

Konnte sich die Landeshauptstadt Stuttgart erst nach einem quälenden Prozess dazu durchringen, eine entsprechende Funktion einzurichten, gab es von anderen Städten Absagen (Karlsruhe, Ulm) oder hinhaltende Stellungnahmen (Baden-Baden, Mannheim). Nachzulesen ist dies in meinem 23. Tätigkeitsbericht (LT-Drs. 13/1500, S. 50). Weshalb erwähne ich dies nochmals? Nun, Anlass hierzu gibt mir ein neues Schreiben des Oberbürgermeisters der Stadt Mannheim. Darin wird auf die schwierige Haushaltslage der Stadt hingewiesen und schlicht festgestellt, diese lasse die Bestellung eines behördlichen Datenschutzbeauftragten nicht zu. Im Ergebnis macht dieses Schreiben wieder einmal deutlich, welcher Stellenwert dem Datenschutz in bestimmten Bereichen der Verwaltung eingeräumt wird: Datenschutz ist gut und wichtig, aber er darf nichts kosten! Natürlich sehe ich die finanziellen Probleme der Städte und Gemeinden. Selbstverständlich zwingen diese dazu, Prioritäten zu setzen. Aber weshalb muss dabei der Datenschutz häufig das erste Opfer sein? Liegt es vielleicht daran, dass die freiheitssichernde Bedeutung des Datenschutzes verkannt wird? Dass man die Aufgaben des Datenschutzes ernst nehme, wie die Städte unisono versichern, hört man gerne. Indes, dies zeigt die Erfahrung, lässt sich ein wirksamer Datenschutz nur dann hinreichend sicher gewährleisten, wenn eine konkrete Person, mit klaren Kompetenzen, den notwendigen Fachkenntnissen und der Unterstützung der Behördenleitung ausgestattet, hierfür zuständig ist. Nicht zuletzt die anlässlich einer Reihe von Kontrollen durch meine Dienststelle festgestellten Mängel im Umgang mit den verwalteten personenbezogenen Daten belegen dies nachdrücklich.

2. Besonderheiten bei der Baurechtsbehörde der Stadt Freiburg

Offensichtlich ganz nah am Bürger wollte sich die Stadt Freiburg präsentieren und hatte zu diesem Zweck auch die Verfahren bei der Baurechtsbehörde für die örtlichen Bürgervereine geöffnet. Aber vielleicht hat sie sich damit in Einzelfällen sogar von dem einen oder anderen Bürger ein Stück weit entfernt. Ich sah jedenfalls Anlass, diese Freiburger Spezialität zu beanstanden.

Auf folgende Praxis war ich bei der Baurechtsbehörde der Stadt gestoßen: Das städtische Bauordnungsamt unterrichtete die örtlichen Bürgervereine der jeweiligen Stadtteile über alle beabsichtigten Bauvorhaben, indem es ihnen die entsprechenden Flurstücksnummern sowie die Straße (mit Hausnummer) mitteilte und in einer Beschreibung das geplante Bauvorhaben vorstellte. Diese Vorgehensweise praktizierte die Stadt bei allen Bauanträgen im Sinne der Landesbauordnung, bei Vorhaben im Kenntnisgabeverfahren nach der Landesbauordnung sowie bei Bauvoranfragen.

Dabei erhielt der Bürgerverein des von dem Bauvorhaben betroffenen Stadtteils jeweils eine schriftliche Mitteilung mit den genannten Fakten. Bei weiterem Informationsbedarf konnte sich der Verein zusätzlich an das Bauordnungsamt wenden, um dort einen Plansatz einzusehen, außerdem ein "Informationsgespräch" mit der Amtsleitung führen. Die schriftlichen Mitteilungen der Stadt erfolgten an die jeweiligen Vereinsvorsitzenden. Die Einsichtnahme der Pläne war auf Personen begrenzt, die zuvor vom Bürgerverein gegenüber der Behörde namentlich benannt wurden. Die Bürgervereine hatten dann die Möglichkeit, eine Stellungnahme gegenüber der Stadt abzugeben, mit der sie Bedenken und Anregungen vorbringen konnten. In einer mir vorliegenden Stellungnahme ist etwa von einem Bürgerverein ein Vorhaben abgelehnt worden. Die Stadt teilte mit, dass sich die benachrichtigten Bürgervereine in vielen Fällen nicht geäußert hätten. Eingegangene Äußerungen wurden dann zu den jeweiligen Bauakten genommen.

Dass die Behörde damit personenbezogene Daten weitergab, war klar. Es war den Vereinen nicht zuletzt aufgrund ihrer Verankerung in den jeweiligen Stadtteilen leicht möglich, aufgrund der mitgelieferten Angaben auf die jeweiligen Personen der Bauherren zu schließen und diese somit zu identifizieren. Im Übrigen musste spätestens die Einsichtnahme in einen Plansatz regelmäßig zur Bekanntgabe des Namens des Bauherrn führen. Da es sich bei den geschilderten Vorgängen zweifellos um Datenübermittlungen handelte, bedurfte es hierfür einer Rechtsgrundlage. Da die Landesbauordnung zwar eine Angrenzerbenachrichtigung, aber eben nicht die geschilderte Form der Beteiligung von Vereinen vorsieht, konnte die Datenweitergabe nur auf der Grundlage der allgemeinen Regelungen des Landesdatenschutzgesetzes erfolgt sein. Die Beteiligung der Bürgervereine ist für die Aufgabenerfüllung der Baurechtsbehörde nicht erforderlich. Deshalb kann der Eingriff in das informationelle Selbstbestimmungsrecht des jeweiligen Bauherrn nur gerechtfertigt sein, wenn die Vereine, an die die Daten übermittelt wurden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegen konnten und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hatte (§ 18 Abs. 1 Nr. 2 LDSG).

Wir vermochten bereits kein berechtigtes Interesse der Bürgervereine an der Kenntnis der übermittelten Daten auszumachen. Zwar wurde von Seiten der Stadt vorgebracht, dass die Unterstützung von Vereinstätigkeit öffentlichen Interessen entspreche und die Verfolgung solcher öffentlicher Interessen wiederum ein berechtigtes Interesse sei. Dieser Argumentation vermochten wir nicht zu folgen. Die Unterrichtung der Vereine erfolgte hier gerade nicht zur Förderung der Vereinstätigkeit, sondern offensichtlich wohl deshalb, um die dortige Meinungsbildung frühzeitig in die baurechtlichen Verfahren einfließen zu lassen. Im Ergebnis erhielt die Baurechtsbehörde eine Rückmeldung darüber, ob ein Bauvorhaben von Teilen der Bürgerschaft als unbeachtlich eingestuft, mitgetragen oder gar abgelehnt wurde. Deshalb sprach die Stadt wohlweislich auch von einer "Beteiligung der Bürgervereine" und einer "vertrauensvollen Zusammenarbeit", hingegen nicht von einer Unterstützung der Vereinstätigkeit. Die gewählte Verfahrensweise sollte der Erkenntnisgewinnung für die rechtliche Beurteilung von Bauvorhaben dienen. Diese Aufgabe der baurechtlichen Beurteilung ist jedoch gesetzlich der Baurechtsbehörde zugewiesen, die sie auch ohne Beteiligung der Bürgervereine zu erfüllen vermag. Auch über die Bestimmungen des Landesdatenschutzgesetzes konnten die Bürgervereine daher nicht als beratende Gremien in das Verwaltungsverfahren einbezogen werden. Die geschilderte Praxis war somit unzulässig.

In der Folge hatte die Stadt die kritisierte Vorgehensweise zunächst ausgesetzt und hat sie inzwischen gänzlich eingestellt.

3. Bürgermeisterwahlen und Datenschutz

3.1 Herausgabe von Adressen

Gleich mehrere Bürger einer Gemeinde haben sich unabhängig voneinander in derselben Sache an uns gewandt. Sie waren vor der Bürgermeisterwahl von einem der Bewerber angeschrieben und um ihre Stimme gebeten worden. Die Betroffenen wollten von uns wissen, wie der Bürgermeisterkandidat an ihre Adressen gekommen ist und ob die undichte Stelle womöglich bei der Gemeindeverwaltung liegt.

Der zur Stellungnahme aufgeforderte Bürgermeister teilte uns mit, ein Mitarbeiter habe die Adressen von Jungwählern und Senioren versehentlich aus dem Melderegister an den Ortsverein einer Partei herausgegeben. Er wolle diese Panne zwar nicht beschönigen, aber auch "zuständigen Stellen" sei die in Baden-Württemberg geltende Rechtslage nicht bekannt gewesen.

Mit dieser Bemerkung kann der Bürgermeister weder das Innenministerium des Landes, das sowohl für das Einwohnermeldewesen als auch für den Bereich Kommunalwahlen zuständig ist, noch unsere Dienststelle gemeint haben. Wir stimmen nämlich darin überein, dass der eindeutige Wortlaut des § 34 Abs. 1 des Meldegesetzes die Herausgabe der Daten von Wahlberechtigten vor Bürgermeisterwahlen nicht zulässt. Nach dieser Vorschrift darf die Meldebehörde Parteien und anderen Trägern von Wahlvorschlägen im Zusammenhang mit allgemeinen Wahlen zu parlamentarischen und kommunalen Vertretungskörperschaften, allgemeinen Abstimmungen, Volks- und Bürgerbegehren in den sechs vorangehenden Monaten Auskunft aus dem Melderegister über Familiennamen, Vornamen, Doktorgrad und Anschriften von Gruppen von Wahl- oder Stimmberechtigten erteilen, für deren Zusammensetzung das Lebensalter der Betroffenen bestimmend ist, soweit diese nicht widersprochen haben. Diese gesetzliche Bestimmung, in der die Bürgermeisterwahlen nicht aufgeführt sind, hat jedenfalls hinsichtlich der Herausgabe von Adressen für Zwecke der Wahlwerbung abschließenden Charakter. Im Übrigen gibt es bei Bürgermeisterwahlen weder eine Partei als Wahlvorschlagsträger noch einen anderen Wahlvorschlagsträger. Vielmehr reicht jede Person, die das Amt des Bürgermeisters anstrebt, ihre Bewerbung selbst ein.

Dass die Gemeinde trotz dieser klaren rechtlichen Regelung einer Partei vor der Bürgermeisterwahl Adressdaten aus dem Melderegister zur Verfügung gestellt hat, habe ich beanstandet. Gleichzeitig habe ich den Bürgermeister gebeten, die Rechtslage künftig zu beachten.

3.2 Die unzulässige Speicherung im Melderegister

Eine Petentin äußerte die Vermutung, anlässlich der Oberbürgermeisterwahl in einer Großen Kreisstadt sei zusammen mit den Daten der Unterstützer der Name des jeweiligen Kandidaten festgehalten worden. Die Petentin fragte uns, ob diese Vorgehensweise der Stadt datenschutzrechtlich in Ordnung ist.

Die Vermutung der Petentin sollte sich als zutreffend herausstellen. Die Stadt hat bestätigt, dass sie in ihrem Melderegister bei den betroffenen Wahlberechtigten vorübergehend gespeichert hatte, welchen Bewerber diese unterstützt haben. Wir haben den Sachverhalt datenschutzrechtlich wie folgt beurteilt:

Nach dem Kommunalwahlrecht muss in Gemeinden mit mehr als 20 000 Einwohnern jeder Bewerber mit Ausnahme des Amtsinhabers eine bestimmte Anzahl von Unterstützungsunterschriften beibringen, um zur Bürgermeisterwahl zugelassen zu werden. Ein Wahlberechtigter darf nur eine Bewerbung durch seine Unterschrift unterstützen. Unterzeichnet jemand mehr als eine Bewerbung, sind alle seine Unterschriften ungültig. Es begegnet deshalb keinen Bedenken, dass das mit der Wahlvorbereitung beauftragte Wahlamt die Unterstützerdaten vorübergehend elektronisch gespeichert und in diese Datei zum Erkennen von Mehrfachunterschriften auch ein Kennzeichen für die jeweilige Bewerbung aufgenommen hat. Selbstverständlich war es auch erforderlich und damit datenschutzrechtlich zulässig, dass die Stadt ihr Bürgeramt, bei dem das Melderegister geführt wird, mit der Prüfung der Wahlberechtigung der Unterzeichner betraut hat. Zu diesem Zweck hätte es aber ausgereicht, wenn das Wahlamt dem Bürgeramt die Daten der Unterzeichner zur Verfügung gestellt hätte. Die Prüfung der Wahlberechtigung ist nämlich unabhängig davon, welche Bewerbung der einzelne Unterzeichner unterstützt. Aufgrund des Ergebnisses der vom Bürgeramt vorgenommenen Überprüfung der Wahlberechtigung der Unterzeichner wäre es dem Wahlamt mit Hilfe seiner elektronischen Datei ohne weiteres möglich gewesen, Mehrfachunterschriften festzustellen und entsprechend den kommunalwahlrechtlichen Vorschriften zu behandeln. Unzulässig war auch die Speicherung der Tatsache der Unterzeichnung und der unterstützten Bewerbung im Melderegister. § 4 des Meldegesetzes regelt abschließend, welche Daten im Melderegister gespeichert werden dürfen. In diesem Datenkatalog sind Unterstützer- und Bewerberdaten für Wahlen nicht aufgeführt.

Ich habe die Stadt gebeten, meine Hinweise bei künftigen Wahlen zu beachten. Von einer förmlichen Beanstandung habe ich im Hinblick darauf abgesehen, dass die Daten unverzüglich nach der Wahl gelöscht worden sind.

4. Datenschutzrechtliche Probleme beim Fremdenverkehr

Private Zimmervermieter in einer kleinen Fremdenverkehrsgemeinde wandten sich mit folgendem Anliegen an uns:

Die örtliche Tourist-Information GmbH, eine Eigengesellschaft der Gemeinde, biete einen Vordrucksatz an, der aus dem melderechtlich vorgeschriebenen "Meldeschein der Beherbergungsstätten" (so genannter Hotelmeldeschein) und einem weiteren "Meldeschein" bestehe, welcher der Erhebung der Kurtaxe diene. Die Petenten halten die formularmäßige Verknüpfung der beiden genannten Rechtsbereiche für datenschutzrechtlich bedenklich. Insbesondere bemängeln sie, dass der Hotelmeldeschein, der eigentlich beim Zimmervermieter aufbewahrt werden sollte, der GmbH zuzuleiten ist.

Ferner wenden sich die Petenten gegen die Aufforderung der GmbH an die Vermieter, für Zwecke der Zimmervermittlung einen 10-seitigen Fragebogen auszufüllen.

Die von uns eingeholten Stellungnahmen der Gemeinde und der GmbH und unsere rechtliche Prüfung haben zu folgenden Ergebnissen geführt:

4.1 Kurtaxe und Hotelmeldepflicht

Es hat sich herausgestellt, dass die GmbH tatsächlich einen Durchschreibesatz anbietet, der den melderechtlichen Bereich abdeckt und zugleich der Erhebung der Kurtaxe dient. Dagegen bestehen aus datenschutzrechtlicher Sicht keine grundsätzlichen Vorbehalte. Es muss aber sichergestellt sein, dass auf jedem Vordruck nur diejenigen Daten erfragt werden, die zur Erfüllung der jeweiligen Aufgabe benötigt werden. Das wurde hinsichtlich des Hotelmeldescheins im vorliegenden Fall ohne Einschränkung beachtet. Dieser Teil des Vordrucksatzes entsprach in vollem Umfang dem vom Innenministerium als Verordnungsgeber vorgeschriebenen amtlichen Muster. Ein paar Haare in der Suppe fanden wir dagegen in dem Kurtaxevordruck. Dieses Formular stimmte zwar mit dem von der Gemeinde herausgegebenen Vordruck überein. Dennoch mussten wir verschiedene Fragen, z. B. nach dem Grad der Behinderung des Gastes und ob dieser auf Geschäftsreise ist, bemängeln. Die Kenntnis dieser Daten ist nämlich - jedenfalls nach der Kurtaxesatzung dieser Gemeinde - nicht erforderlich, um die Kurtaxe festzusetzen. Außerdem haben wir moniert, dass auf diesem Vordruck neben den Rechtsgrundlagen für die Kurtaxeerhebung auch die melderechtlichen Vorschriften angegeben waren. Letztere sind nur für den Hotelmeldeschein einschlägig; auf dem Kurtaxevordruck haben sie nichts verloren.

Ferner haben wir festgestellt, dass die nach dem Kommunalabgabengesetz grundsätzlich zulässige Beauftragung eines Dritten nicht wie im Gesetz vorgeschrieben in der gemeindlichen Kurtaxesatzung verankert war. Ohne eine solche Satzungsbestimmung hätte die Gemeinde die GmbH nicht beauftragen dürfen, bei der Erhebung der Kurtaxe mitzuwirken. In diesem Zusammenhang haben wir die Gemeinde auch auf die Vorschriften des Landesdatenschutzgesetzes über die Datenverarbeitung im Auftrag hingewiesen.

Von einer förmlichen Beanstandung der erwähnten Datenschutzverstöße habe ich abgesehen, weil die Gemeinde zugesagt hat, ihre Kurtaxesatzung unverzüglich anzupassen und den Kurtaxevordruck zu ändern.

Unberechtigt war der Vorwurf der Petenten, die GmbH verlange von den Vermietern, ihr auch die Hotelmeldescheine zuzuleiten. Auf dem Hotelmeldeschein wird im Gegenteil deutlich darauf hingewiesen, dass dieser Vordruck beim Zimmervermieter verbleibt. Dieser Hinweis entspricht der einschlägigen Vorschrift des Meldegesetzes, wonach die ausgefüllten Meldescheine von der Beherbergungsstätte aufzuwahren, vor unbefugter Einsichtnahme zu sichern und bestimmten Behörden, unter anderem dem Polizeivollzugsdienst, auf Verlangen zur Einsichtnahme vorzulegen sind; Letzterem sind sie auf Verlangen auch zu übermitteln. Es obliegt demnach den Vermietern selbst sicherzustellen, dass die Hotelmeldescheine nicht in die Hände von Unbefugten gelangen. Darauf haben wir die Petenten hingewiesen.

4.2 Umfrage bei den Zimmervermietern

Die Tourist-Information GmbH hatte den Vermietern von Fremdenzimmern und Ferienwohnungen einen umfangreichen Fragebogen zugeleitet mit der Bitte, diesen ausgefüllt bis zu einem bestimmten Termin zurückzugeben. Die Fragen bezogen sich auf die Lage, Art, Ausstattung, Preiskategorie usw. des Hauses und der Zimmer. Die Angaben sollten die GmbH in die Lage versetzen, die Zimmer und Ferienwohnungen an Gäste zu vermitteln. Als Rechtsgrundlage für die Datenerhebung nannte uns die GmbH die Kurtaxesatzung der Gemeinde. Letzteres hat sich zwar als unzutreffend herausgestellt, weil diese Satzung, wie im Kommunalabgabengesetz vorgeschrieben, sich auf Regelungen zur Erhebung der Kurtaxe beschränkt. Das Landesdatenschutzgesetz enthält allerdings eine ausreichende Rechtsgrundlage, um bei den Vermietern Daten über die von der GmbH zu vermittelnden Zimmer zu erheben. Nach diesem Gesetz ist nämlich das Erheben personenbezogener Daten zulässig, wenn deren Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Das Landesdatenschutzgesetz schreibt aber zusätzlich vor, dass den Betroffenen gegenüber die beabsichtigte Datenverarbeitung und der Zweck der Verarbeitung sowie bei einer beabsichtigten Übermittlung auch die Empfänger der Daten oder Gruppen von Empfängern anzugeben sind, soweit die Betroffenen nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen müssen. Ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen (wie hier für die Vermittlung von Zimmern durch die GmbH), sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Die GmbH hat sich mit einer "Bitte" an die Zimmervermieter gewandt, als sie diesen die Fragebögen zusandte. Sie hat damit den Empfängern gegenüber hinreichend deutlich gemacht, dass sie nicht verpflichtet sind, die Vordrucke auszufüllen. Dennoch haben wir die GmbH gebeten, die Betroffenen zur Vermeidung von Missverständnissen künftig in vergleichbaren Fällen umfassend im oben genannten Sinne zu informieren.

5. Behandlung von Bürgereingaben durch Behörden

Immer wieder werden uns Fälle bekannt, in denen Behörden Schreiben von Bürgern unzulässigerweise an Unternehmen, Privatpersonen oder an andere Behörden weitergeben, wie die beiden folgenden Beispiele zeigen:

5.1 Weitergabe an den Arbeitgeber

Ein Mitarbeiter eines weltbekannten schwäbischen Unternehmens nahm einen Zeitungsartikel zum Anlass, sich per E-Mail an den Bürgermeister einer baden-württembergischen Kleinstadt zu wenden. Mit nicht sehr schmeichelhaften Worten und viel Ironie kommentierte der Absender die von der Presse wiedergegebenen Sorgen des Bürgermeisters um die künftige Nutzung eines ehemaligen Militärgeländes. Darüber war der Bürgermeister naturgemäß nicht sehr erfreut. Kurzerhand schickte er die E-Mail an das Unternehmen mit der Frage, ob es bei dieser Firma üblich sei, Briefe solchen Inhalts unter dem Firmennamen zu versenden. Diese Reaktion des Bürgermeisters hatte offenbar nachteilige arbeitsrechtliche und sonstige Folgen für den Mitarbeiter. Er wollte von uns wissen, ob der Bürgermeister befugt war, seinen Arbeitgeber über die E-Mail zu informieren.

Der von uns zu einer Stellungnahme aufgeforderte Bürgermeister rechtfertigte die Weitergabe der E-Mail an das Unternehmen damit, dass er davon ausgegangen sei, der Absender habe ihn im Auftrag des Unternehmens angeschrieben.

Datenschutzrechtlich stellt sich der Sachverhalt wie folgt dar: Wäre die E-Mail, wovon der Bürgermeister ausgeht, dem Unternehmen zuzurechnen, wäre die Sache datenschutzrechtlich unproblematisch. In diesem Fall hätte der Bürgermeister nicht einen Dritten, sondern den Absender selbst über dessen eigene E-Mail informiert. Eine solche Handlungsweise könnte man zwar als unnötig, vielleicht sogar als unsinnig ansehen, sie wäre aber datenschutzrechtlich unbedenklich gewesen. Wir mussten dem Bürgermeister aber mitteilen, dass wir die Sache anders sehen als er. Die E-Mail-Adresse enthielt zwar neben dem Namen des Mitarbeiters auch den Namen des Unternehmens. Der Inhalt der E-Mail und vor allem die ausdrückliche Bitte des Absenders, der Bürgermeister möge eine etwaige Antwort an seine Tochter richten, sprachen aber eindeutig für eine private Eingabe. Diese Eingabe, die zahlreiche personenbezogene Daten des Petenten enthielt, hätte der Bürgermeister, nachdem der Betroffene nicht eingewilligt hatte, nach der einschlägigen Vorschrift des Landesdatenschutzgesetzes nur an das Unternehmen weitergeben dürfen, wenn es zur Erfüllung der Aufgaben der Stadt erforderlich gewesen wäre oder das Unternehmen (vorher) ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft dargelegt hätte. Diese datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs lagen hier nicht vor. Wir brauchten deshalb nicht zu prüfen, ob der Mitarbeiter als Betroffener ein schutzwürdiges Interesse am Ausschluss der Datenübermittlung gehabt hätte.

Diese datenschutzrechtliche Beurteilung ist unabhängig davon, ob der Arbeitgeber seinen Beschäftigten den privaten E-Mail-Versand ausdrücklich erlaubt, diesen stillschweigend geduldet oder untersagt hatte.

Der Bürgermeister hat letztlich akzeptiert, dass in seinem Vorgehen ein Datenschutzverstoß zu sehen ist, und zugesagt, die datenschutzrechtlichen Vorschriften künftig zu beachten. Von einer förmlichen Beanstandung konnte ich deshalb absehen.

5.2 Datenaustausch zwischen Behörden

Ein Gemeinderatsmitglied hatte den Verlauf einer Gemeinderatssitzung zum Anlass genommen, zwei Rechtsfragen an das Landratsamt zu richten. Unter anderem hatte er dort angefragt, ob die Wiederholung einer Abstimmung zu einem bestimmten Tagesordnungspunkt rechtens ist. Nachdem das Landratsamt die Fragen des Petenten bereits beantwortet hatte, fiel ihm ein, dass es den Brief des Gemeinderatsmitglieds der Gemeinde überlassen und von dieser eine Stellungnahme anfordern könnte. Schließlich ließ der Bürgermeister den an das Landratsamt gerichteten Brief des Gemeinderatsmitglieds während einer Gemeinderatssitzung an die Wand projizieren und informierte das Gremium über die Rechtsauffassung des Landratsamts.

Der Petent wollte von uns wissen, ob das Landratsamt befugt war, seinen Brief an die Gemeinde weiterzugeben, und ob der Bürgermeister sein Schreiben im Rahmen einer Gemeinderatssitzung öffentlich machen durfte. Nach Anhörung der beteiligten Behörden beurteilten wir den Sachverhalt datenschutzrechtlich wie folgt:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Sie dürfen nach dem Landesdatenschutzgesetz an andere Behörden nur übermittelt werden, wenn es zur Aufgabenerfüllung erforderlich ist. Allein die Tatsache, dass sich der Petent in einer bestimmten Angelegenheit an das Landratsamt gewandt hatte, stellt schon ein personenbezogenes Datum dar. Das Landratsamt hätte die von dem Petenten gestellten Rechtsfragen auch ohne Anhörung der Gemeinde beantworten können, was es zunächst auch getan hatte. Das Landratsamt hätte seine Antwort mit dem Hinweis verbinden können, dass es eine Stellungnahme der Gemeinde zu dem Sachverhalt nicht eingeholt hat. Datenschutzrechtlich unbedenklich wäre auch gewesen, wenn das Landratsamt der Gemeinde den Sachverhalt mit eigenen Worten ohne Personenbezug geschildert hätte. Schließlich hätte es den Petenten auch fragen können, ob er in die Weitergabe seines Schreibens an die Gemeinde einwilligt. Jedenfalls war es zur Aufgabenerfüllung weder des Landratsamts noch der Gemeinde erforderlich, der Gemeinde das vollständige Schreiben des Petenten zuzuleiten.

Der Bürgermeister durfte den Gemeinderat über die Rechtsauffassung des Landratsamts informieren, weil die strittigen Fragen in der Zukunft immer wieder auftreten könnten. Es war aber zur Aufgabenerfüllung des Gemeinderats nicht erforderlich, dass der Bürgermeister ihm den vollständigen Wortlaut des an das Landratsamt gerichteten Schreibens des Petenten offenbart hat.

Wir haben beide Behörden gebeten, die aufgezeigte Rechtslage künftig in vergleichbaren Fällen zu beachten.

6. Adressen von Grundstückskäufern

Durch eine Bürgereingabe wurden wir auf folgenden Fall aufmerksam gemacht: Der Petent und seine Ehefrau hatten in einer Großen Kreisstadt ein Baugrundstück erworben. Die Käufer wunderten sich darüber, als sie kurz darauf von einer Privatperson Post erhielten. Die Absenderin wollte nämlich wissen, ob das Ehepaar Kinder hat und ob es beabsichtigt, diese in dem Neubaugebiet den Kindergarten besuchen zu lassen. Als Hintergrund dieser Anfrage nannte uns der Petent städtische Überlegungen, den Kindergarten in jenem Gebiet zu schließen. Das Schreiben sollte offenbar dazu dienen, Mitstreiter für den Erhalt des Kindergartens zu finden. Nicht dass der Petent gegen diese Initiative in der Sache etwas einzuwenden hätte. Er fragte aber zuerst sich und dann auch uns, wie die Absenderin wohl an seine Adresse und an die Daten anderer Grundstückskäufer gekommen ist.

Wir wollten der Sache auf den Grund gehen und forderten eine Stellungnahme der Stadt an. Diese teilte uns zunächst mit, dass das Baurechts- und Bauverwaltungsamt eine Liste mit den Adressen von mehr als zehn Grundstückserwerbern an eine städtische Angestellte herausgegeben hatte. Die Angestellte hatte die Daten nicht in dienstlicher Eigenschaft, sondern als Privatperson, und zwar als ehrenamtliches Mitglied des Elternbeirats des erwähnten städtischen Kindergartens angefordert. Da uns im Gegensatz zur Stadt nicht das Ersuchen dieser Person, sondern die Herausgabe der personenbezogenen Daten durch das Baurechts- und Bauverwaltungsamt rechtlich fragwürdig erschien, hakten wir nach. Dabei stellte sich heraus, dass die künftigen "Häuslebauer" ihre Bauplätze von der Stadt erworben hatten. Das Baurechts- und Bauverwaltungsamt hatte offenbar einfach die Daten seiner Vertragspartner - neben deren Adressen auch die Flurstücksnummern - aus den Kaufverträgen entnommen und dem Elternbeiratsmitglied zur Verfügung gestellt.

Wir haben diese Handlungsweise der Stadt datenschutzrechtlich wie folgt beurteilt: Nach dem Landesdatenschutzgesetz hätte die Stadt die personenbezogenen Daten nur herausgeben dürfen, wenn es zur Erfüllung der städtischen Aufgaben erforderlich gewesen wäre oder das Elternbeiratsmitglied ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft dargelegt und die betroffenen Grundstückskäufer kein schutzwürdiges Interesse am Ausschluss der Datenübermittlung gehabt hätten. Die erste Alternative scheidet hier von vornherein aus, weil es auf der Hand liegt, dass die Datenübermittlung nicht zur Erfüllung von Aufgaben des Baurechts- und Bauverwaltungsamts erforderlich war. Die Datenempfängerin mag zwar in ihrer Eigenschaft als Elternbeiratsmitglied möglicherweise ein berechtigtes Interesse an der Kenntnis der Daten gehabt haben. Das Baurechts- und Bauverwaltungsamt hätte aber nicht unterstellen dürfen, dass die betroffenen Grundstückskäufer kein schutzwürdiges Interesse am Ausschluss der Datenübermittlung haben. Die Betroffenen konnten und mussten beim Vertragsabschluss mit der Stadt nämlich nicht damit rechnen, dass ihre Daten für private Zwecke verwendet werden. Das Amt, das nach dem Landesdatenschutzgesetz als übermittelnde Stelle die Verantwortung für die Zulässigkeit der Datenübermittlung trug, hätte demnach die Adressen ohne Einwilligung der Grundstückskäufer nicht herausgeben dürfen.

Der Vollständigkeit halber weisen wir darauf hin, dass auch entsprechende personenbezogene Auskünfte aus der Kaufpreissammlung, welche die bei den Gemeinden gebildeten Gutachterausschüsse nach dem Baugesetzbuch zu führen haben, unzulässig gewesen wären.

Ich habe den Datenschutzverstoß gegenüber dem Oberbürgermeister beanstandet und ihn gebeten, für die künftige Beachtung der datenschutzrechtlichen Vorschriften innerhalb der Stadtverwaltung zu sorgen.

7. Tücken bei der Postzustellung

Eine Bürgerin wandte sich mit folgendem Fall an uns: Ein Landratsamt habe ihr einen Bußgeldbescheid förmlich zugestellt. Die Postzustellungsurkunde, die dem Absender der Postsendung nach erfolgter Zustellung von der Post zugeschickt wird, ging jedoch nie beim Landratsamt ein. Da das Landratsamt ohne Postzustellungsurkunde nicht nachweisen kann, dass der Bußgeldbescheid formgerecht zugestellt worden ist, erkundigte sich das Landratsamt über den Verbleib der Postzustellungsurkunde. Im Betreff der an die Post gerichteten Anfrage gab das Landratsamt an, dass es in dem zugestellten Schreiben um ein Bußgeldverfahren gegen die Adressatin des Schreibens gegangen war. Eine Information, die die Post für die Nachforschungen nach dem Verbleib der Postzustellungsurkunde nicht benötigte.

Diese Mitteilung stellt eine Übermittlung personenbezogener Daten an eine öffentliche Stelle dar, denn die Deutsche Post AG gilt nach dem Bundesdatenschutzgesetz als öffentliche Stelle des Bundes. Eine solche Übermittlung ist jedoch nur zulässig, wenn das Landesdatenschutzgesetz oder eine andere Rechtsvorschrift sie erlaubt oder soweit der Betroffene eingewilligt hat. Eine Einwilligung der Betroffenen lag nicht vor. Eine bereichsspezifische Übermittlungsbefugnis besteht ebenfalls nicht. Auch auf die Übermittlungsregelungen des Landesdatenschutzgesetzes kann die Information der Post über den Betreff des zugestellten Schreibens nicht gestützt werden. Denn diese Regelungen setzen voraus, dass die Übermittlung der Daten zur Aufgabenerfüllung der übermittelnden Stelle oder der Stelle, an die die Daten übermittelt werden, erforderlich ist. Im Anschreiben an die Post anzugeben, dass das zugestellte Schreiben ein Bußgeldverfahren gegen die Adressatin betraf, war daher unzulässig.

Wir forderten das Landratsamt auf, unsere Rechtsauffassung künftig zu beachten.

8. Videoüberwachung

An die zunehmende Überwachung von Gebäuden und öffentlichen Plätzen durch Videokameras hat man sich mittlerweile - leider - schon gewöhnt (s. auch die Ausführungen zur polizeilichen Videoüberwachung im 2. Teil, 1. Abschnitt, Nr. 2). Beklagenswerte Folge ist, dass man sich auf Seiten der Anwender solcher Techniken häufig kaum mehr Gedanken darüber macht, ob die rechtlichen Voraussetzungen für solche Videoeinsätze überhaupt vorliegen. Die Hemmschwelle sinkt, auch wenn die Gerichte immer wieder darauf hinweisen, dass die Überwachung mittels bildgebender Verfahren, bei der die äußere Erscheinung und das Verhalten der erfassten Personen in ihrer Gesamtheit registriert werden, in schwerwiegender Weise in das Grundrecht auf Datenschutz der Betroffenen eingreift und deshalb nur in engen Grenzen akzeptiert werden kann. Findet Videoüberwachung statt, können die Betroffenen diesen Eingriff in ihr Persönlichkeitsrecht oft nicht vermeiden, etwa wenn sie bestimmte Einrichtungen aufsuchen möchten oder sogar müssen, die sich innerhalb des überwachten Bereichs befinden. Die Videoüberwachung ist deshalb nur in engen Grenzen zulässig und setzt insbesondere voraus, dass Gründe des Allgemeinwohls die Videoüberwachung erfordern, die so gewichtig sind, dass sie die schutzwürdigen Interessen der Betroffenen überwiegen. Nur unter strengen Voraussetzungen können die mit der Videoüberwachung verbundenen Eingriffe in das Persönlichkeitsrecht einer Vielzahl von meist rechtstreuen Bürgern gerechtfertigt sein.

Ihr mit Steuermitteln finanziertes Eigentum vor Diebstahl oder mutwilliger Zerstörung zu schützen, gehört durchaus zu den Aufgaben jeder Behörde. Das Erheben personenbezogener Daten zu diesem Zweck ist deshalb nicht von vornherein unzulässig. Auch die Wahrung ihres Hausrechts kann Maßnahmen, die Datenverarbeitungen beinhalten, legitimieren. Werden begangene Straftaten als Grund für die künftige Überwachung von Dienstgebäuden mit Videoanlagen angegeben, muss deren Erforderlichkeit allerdings belegt werden können, etwa durch die Vielzahl oder die Schwere der begangenen Straftaten in dem zur Überwachung vorgesehenen Bereich. Außerdem muss dargetan werden, dass Alternativen zur Videoüberwachung (zum Beispiel Kontrollgänge durch Personal) nicht zum gleichen Ergebnis führen. Schließlich bedarf es einer besonderen Rechtfertigung, wenn statt der bloßen Beobachtung mittels Bildübertragung (so genanntes Kamera-Monitor-Prinzip) eine Videoüberwachung in der Form der Bildaufzeichnung erfolgen soll. Nur wenn die Behörde im Rahmen einer umfassenden Güter- und Interessenabwägung zum Ergebnis gelangt, dass die Videoüberwachung erforderlich ist, darf sie letztlich zu diesem Mittel greifen. Dabei muss sie auch regelmäßig prüfen, ob die Überwachung noch erforderlich ist.

Außer mit der polizeilichen Videoüberwachung haben wir uns im Berichtszeitraum mit drei weiteren Fällen einer Videoüberwachung befassen müssen. Wegen des Sachzusammenhangs schildern wir als dritten Fall einen Vorgang aus dem Universitätsbereich, der begrifflich natürlich nicht dem Abschnitt "Kommunales" zuzurechnen ist.

8.1 Der Dieb im Umkleideraum

Anfang November, also erst kurz vor Drucklegung dieses Tätigkeitsberichts, haben wir durch die Presse erfahren, dass die Stadt Freiburg in einem ihrer Hallenbäder, und zwar in den Sammelumkleideräumen, Videokameras in Betrieb genommen hat. Weitere städtische Bäder sollten entsprechend ausgestattet werden. Vorausgegangen waren offenbar zahlreiche Aufbrüche von Kleiderschränken, die sich in den Umkleideräumen befinden. Die Überwachung soll dazu dienen, derartige Sachbeschädigungen an städtischem Eigentum und Diebstähle zulasten der Badbesucher künftig zu verhindern oder strafrechtlich zu verfolgen.

Vor allem die Tatsache, dass so sensible Bereiche wie Umkleideräume Gegenstand der Videoüberwachung sein sollen, veranlasste uns, der Sache unverzüglich auf den Grund zu gehen. Die behördliche Datenschutzbeauftragte der Stadt bestätigte bei einer ersten Kontaktaufnahme den von der Presse dargestellten Sachverhalt. Unsere Intervention führte erfreulicherweise dazu, dass die Stadt die Kameras bis zur rechtlichen Klärung sofort abgeschaltet hat. Zu diesem Schritt dürfte unsere vorläufige Einschätzung beigetragen haben, dass die Videoüberwachung von Bereichen wie Umkleide-, Dusch- und Toilettenräumen, durch die die Intimsphäre der Betroffenen tangiert wird, grundsätzlich nicht als eine verhältnismäßige und datenschutzrechtlich zulässige Maßnahme angesehen werden kann.

Inzwischen liegt uns die Stellungnahme der behördlichen Datenschutzbeauftragten der Stadt Freiburg vor. Demnach ist es in den fünf Hallenbädern der Stadt in den letzten Jahren vermehrt zu Aufbrüchen von Kleiderschränken und zu Diebstählen zulasten der betroffenen Badbesucher gekommen. In Einzelfällen wurden sogar mit Hilfe entwendeter Schlüssel Kraftfahrzeuge der Badbesucher gestohlen. In einem der Hallenbäder entstand in den ersten zehn Monaten dieses Jahres durch die Beschädigung von über 100 Kleiderschränken allein der Stadt ein Schaden von 40.000 Euro. Das Schul- und Sportamt der Stadt sah keine andere Möglichkeit, als durch Videoüberwachung das städtische und private Eigentum zu schützen. Zunächst wurden in den acht Herren-Sammelumkleideräumen des am schlimmsten heimgesuchten Bades, in denen sich auch Kleiderschränke befinden, jeweils zwei Videokameras installiert und in Betrieb genommen. Die Kameras erfassten nicht nur den Schrank-, sondern auch den Umkleidebereich. Somit verblieben als "videofreie Zonen" in jeder Sammelumkleide nur zwei abgetrennte und abschließbare Einzelkabinen. Die Besucher wurden auf die Video- bzw. auf die Nicht-Videoüberwachung durch entsprechende Schilder hingewiesen. Die Aufnahmen konnten durch das Badpersonal nicht laufend beobachtet werden. Vielmehr sollten die Bilder aufgezeichnet, drei Tage lang gespeichert und nur insoweit ausgewertet werden, als es zur Aufklärung eines festgestellten Schrankaufbruchs notwendig ist. Nur der Betriebsleiter des Bades wäre gemeinsam mit der Polizei hierzu befugt gewesen.

Die behördliche Datenschutzbeauftragte, die im Vorfeld stadtintern nicht eingeschaltet worden war, hat uns mitgeteilt, dass sie die Videoüberwachung im Umkleidebereich aus Rechtsgründen nicht für zulässig hält. Sie schlägt folgende Maßnahmen vor: Der Umkleidebereich einerseits und der Schrankbereich andererseits sollen räumlich strikt voneinander getrennt werden. In den Räumen, die künftig ausschließlich dem Umkleiden dienen, werden die Kameras abgebaut. In den anderen Räumen, in denen die Kleiderschränke untergebracht sind, werden nach Entfernung der Sitzbänke die Kameras wieder eingeschaltet, natürlich mit einem deutlichen Hinweis auf die Videoüberwachung.

Wir beurteilen die Sache, die auf ein erhebliches öffentliches Interesse gestoßen ist, datenschutzrechtlich wie folgt: Wie bereits im Vorspann dargelegt, kann es zwar durchaus zu den Aufgaben einer öffentlichen Stelle gehören, ihr Eigentum gegebenenfalls auch mit Hilfe der Videoüberwachung zu schützen. Grundvoraussetzung für eine solch einschneidende Maßnahme, die in die Persönlichkeitsrechte der Betroffenen eingreift, ist aber, dass im Rahmen einer nach dem Landesdatenschutzgesetz vorgeschriebenen Vorabkontrolle geprüft worden ist, ob mildere Mittel (hier zum Beispiel regelmäßige - oder noch besser: unregelmäßige - Kontrollgänge durch das Personal) zur Verfügung stehen, die zu demselben Erfolg führen. Im vorliegenden Fall ist diese Vorabkontrolle, bei der die behördliche Datenschutzbeauftragte und gegebenenfalls auch der Landesbeauftragte für den Datenschutz zu beteiligen gewesen wäre, vor dem Beginn der Überwachungsmaßnahmen unterblieben. In Übereinstimmung mit der städtischen Datenschutzbeauftragten sind wir der Auffassung, dass eine Vorabkontrolle zu einem negativen Ergebnis hätte führen müssen. Denn es liegt auf der Hand, dass durch die Videoüberwachung von Personen beim Umkleiden deren Intimsphäre in nicht hinnehmbarer Weise berührt wird. Die Stadt hätte deshalb im Rahmen der gebotenen Güter- und Interessenabwägung den schutzwürdigen Interessen der Badbesucher Vorrang einräumen und von der unverhältnismäßigen Maßnahme einer Videoüberwachung in den Umkleideräumen absehen müssen.

Das habe ich der Stadt Freiburg mitgeteilt. Von einer förmlichen Beanstandung habe ich nur deshalb Abstand genommen, weil die Überwachung, nachdem ich mich eingeschaltet hatte, sofort eingestellt worden ist. Ich habe die Stadt außerdem wissen lassen, dass die von der behördlichen Datenschutzbeauftragten vorgeschlagenen Maßnahmen (insbesondere räumliche Trennung zwischen Umkleide- und Schrankbereich, wobei nur noch Letzterer videoüberwacht werden soll) unter der Voraussetzung akzeptabel erscheinen, dass eine Vorabkontrolle zum Ergebnis kommt, auf die Videoüberwachung könne mangels geeigneter Alternativen nicht völlig verzichtet werden.

8.2 Der Dieb im Krankenhaus

Im Städtischen Krankenhaus Sindelfingen ist es in der Vergangenheit offenbar wiederholt zu Diebstählen aus Patientenzimmern gekommen. Die Krankenhausverwaltung wollte das Problem durch eine Videoüberwachung in den Griff bekommen: Jeder, der den Eingangsbereich des Krankenhauses durchquert, sollte vorsorglich erst einmal auf Band aufgenommen werden. Die Bänder sollten dann nach acht Tagen wieder gelöscht werden. Auf unsere Frage, wie man denn Diebstähle dadurch verhindern wolle, dass die Besucher beim Betreten und Verlassen des Krankenhauses gefilmt werden, räumte man ein, dass sich Diebstähle zwar nicht verhindern ließen. Man könne aber unter Umständen, wenn man eine Täterbeschreibung besitze, anhand der Videoaufnahmen prüfen, ob darauf eine Person festgehalten sei, auf die die Beschreibung zutreffe.

Nun ist es so, dass das Anfertigen von Videobildern, um mit deren Hilfe Straftäter zu ermitteln, Strafverfolgungszwecken dient. Die Strafverfolgung gehört aber zu den Aufgaben, die der Polizei, nicht aber dem Krankenhaus zugewiesen sind. Allein zu diesem Zweck darf das Krankenhaus deshalb die Videokameras nicht einsetzen. Allerdings beruft sich das Krankenhaus darauf, die Videoüberwachung solle auch potenzielle Diebe abschrecken. Dieser Zweck der Gefahrenvorsorge kann zwar gerade noch als eine Ausprägung des Hausrechts akzeptiert werden, so dass die Zulässigkeit der Videoüberwachung nicht schon daran scheitern muss, dass das Krankenhaus damit eine ihm generell nicht zustehende Aufgabe erfüllen will. Im konkreten Fall ist die Aufstellung von Videokameras im Eingangsbereich allerdings völlig ungeeignet, um diesen Zweck zu erreichen. Denn zum einen kann nach allgemeiner Lebenserfahrung jedenfalls nicht ausgeschlossen werden, dass ein Teil der Diebstähle im Krankenhaus auf Personal des Krankenhauses selbst zurückzuführen ist. Diese Personen benutzen aber in der Regel den Personaleingang. Zum anderen ist die Wahrscheinlichkeit, dass ein Dieb, der selbstverständlich darauf achtet, bei seiner Tat nicht beobachtet zu werden, dann doch auf dem Videoband entdeckt wird, so gering, dass er sich durch eine Videoüberwachung des Eingangs kaum von seiner Tat wird abhalten lassen. Schließlich kann man sich, bei entsprechendem Verhalten, ohnehin so an den Videokameras vorbeibewegen, dass eine nachträgliche Identifizierung ausgeschlossen ist. Mit anderen Worten: Dem Krankenhaus haben wir vorgehalten, dass die Videoüberwachung des Eingangsbereichs das selbst gesteckte Ziel niemals erreichen könnte und schon deshalb unzulässig wäre. Davon abgesehen wäre sie auch unverhältnismäßig. Denn durch die Videoüberwachung werden unterschiedslos alle Personen erfasst, die sich im Eingangsbereich des Krankenhauses aufhalten. Auf ein störendes Verhalten kommt es nicht an. Nach der Rechtsprechung ist unter diesen Voraussetzungen ein Eingriff in das Recht auf informationelle Selbstbestimmung nur zulässig, wenn ein "hinreichender Zurechnungszusammenhang zwischen der zu verhindernden Gefahr und den betroffenen Personen besteht". Dies ist hier nicht der Fall. Denn die Diebstähle, die mit der Videoüberwachung verhindert werden sollen, finden gerade nicht im überwachten Bereich statt. Eine Videoüberwachung darf allenfalls an solchen Orten stattfinden, an denen Straftaten zu erwarten sind. Dies wären hier die Patientenzimmer. Deren Überwachung hat das Krankenhaus jedoch mit der zutreffenden Begründung ausgeschlossen, damit zu sehr in die Privatsphäre der Patienten einzugreifen.

Aufgrund unserer Einwendungen hat das Städtische Krankenhaus Sindelfingen mittlerweile davon abgesehen, Überwachungskameras zu installieren.

8.3 Der Dieb in der Universitätsbibliothek

Seit April 2002 werden in der Bibliothek der Universität Konstanz insgesamt drei Bereiche mit einer Videoanlage überwacht, nämlich der Hauptein- und ‑ausgang, der so genannte "PC-Pool Rechtswissenschaft" und die Wessenberg-Bibliothek.

Die Universität Konstanz hält seit April 2001 ihre Bibliothek an fast allen Tagen im Jahr rund um die Uhr für Studierende und Mitarbeiter, darüber hinaus aber auch für jedermann geöffnet. Dieser Service einer 24-Stunden-Bibliothek hat wohl bislang bei den Professoren, Studierenden und der Öffentlichkeit eine durchweg positive Resonanz erzeugt. Die Schattenseite dieser Konzeption lag nach Mitteilung der Universität darin, dass während des Nachtbetriebs sowie an Sonn- und Feiertagen die Räume von einem einzigen Wachmann, der seinen Arbeitsplatz nicht verlassen kann, nicht hinlänglich überwacht werden können. Bereits im Tagesbetrieb soll es hin und wieder zu Störungen, Verstößen gegen die Benutzungsordnung bis hin zu strafbaren Vorfällen (z. B. Beschädigung oder Diebstahl von Büchern, Diebstahl von PCs oder von deren Komponenten, Missbrauch bei der Nutzung von Internet-Diensten und körperliche Übergriffe auf Bibliotheksbenutzer) gekommen sein.

Bei der von der Videoüberwachung ebenfalls erfassten Wessenberg-Bibliothek handelt es sich im Gegensatz zu den anderen videoüberwachten Bereichen um einen abgeschlossenen und für die Öffentlichkeit nicht zugänglichen Raum, in welchem sich ein antiquarischer Buchbestand von mehr als 30 000 Bänden befindet. Diesen Buchbestand hatte die Stadt Konstanz der Universität als Dauerleihgabe überlassen. Im Zuge der Übergabeverhandlungen zwischen der Stadt und der Universität war die Videoüberwachung vereinbart worden, um eine zusätzliche Sicherung des wertvollen antiquarischen Buchbestands zu erzielen.

Die Universität hatte uns - leider erst einige Monate nach Beginn der Videoüberwachung - im Rahmen einer so genannten Vorabkontrolle nach dem Landesdatenschutzgesetz um Prüfung und Zustimmung gebeten.

Die Prüfung führte zu dem Ergebnis, dass die Videoüberwachung der Wessenberg-Bibliothek dem Datenschutzrecht nicht entspricht. Denn diese Videoüberwachung ist zur Erreichung des angestrebten Sicherungszwecks nicht erforderlich. Der grundsätzlich verschlossene Raum kann ohnehin nur von Personen betreten werden, die den Zahlencode für die Tür kennen. Die Abholung der Bände zur Einsichtnahme oder zur Ausleihe erfolgt ausschließlich durch hierzu befugte Bibliotheksmitarbeiter. Welchen Schutz darüber hinaus die Videoüberwachung noch bringen kann oder soll, ist nicht nachvollziehbar. Daher hat die Universität mitgeteilt, dass sie im Rahmen anstehender Verhandlungen mit der Stadt Konstanz darauf hinwirken werde, dass eine andere (technische) zusätzliche Sicherung eingerichtet und auf die Videoüberwachung verzichtet wird.

Die Videoüberwachung der öffentlich zugänglichen Bereiche kann jedenfalls dann in Betracht kommen, wenn etwa in der Vergangenheit wiederholt körperliche Übergriffe auf Benutzerinnen und Benutzer der Bibliothek erfolgt sind. Aber auch dann ist noch zu prüfen, ob der erwünschte Schutz nicht durch andere Maßnahmen erreicht werden kann, welche die Privatsphäre der Betroffenen weniger beeinträchtigen. Die von der Universität ursprünglich überlassenen Unterlagen ließen nicht erkennen, ob und mit welchem Ergebnis Alternativen zur Videoüberwachung in Betracht gezogen worden waren. Mittlerweile hat die Universität hierzu weitere Informationen vorgelegt. Gleichwohl müssen noch einige nach wie vor offene Punkte ausgeräumt werden, bevor die datenschutzrechtliche Zulässigkeit der Videoüberwachung abschließend beurteilt werden kann.

2. Abschnitt: Personalwesen

Das Spektrum der Fragen des Personaldatenschutzes, mit denen wir uns im Berichtszeitraum befassten, erstreckte sich erneut von der Verarbeitung personenbezogener Daten in herkömmlichen Akten bis zur elektronischen Datenverarbeitung und erfasste komplexe Fragestellungen wie auch Selbstverständlichkeiten. Dass Letztere keineswegs stets umgesetzt werden, mussten wir erneut feststellen. Während im vorangegangenen Tätigkeitsbericht etwa die "Entsorgung" von Sozialakten in öffentlich zugänglichen Altpapiertonnen zu bemängeln war, geht es diesmal zum Beispiel um Probleme im Zusammenhang mit einem Stellenbesetzungsverfahren. Wieder einmal hat sich gezeigt, wie wichtig es ist, dass die Behörden stets auch das kleine Einmaleins des Datenschutzes im Blick behalten.

1. NSI und noch kein Ende

Im Berichtszeitraum befassten wir uns erneut mit datenschutzrechtlichen Fragen bei den Neuen Steuerungsinstrumenten (NSI).

Unter anderem nahmen wir gegenüber dem Finanzministerium zum Datenschutzkonzept Anwendungsdaten NSI, das bisher Sicherheitskonzept Anwendungsdaten NSI hieß, sowie zum Konzept zur kostenorientierten Zeit- und Mengenerfassung Stellung, die uns jeweils in mehreren Versionen vorgelegt wurden. Nachfolgend seien nur einzelne Punkte angesprochen:

Nach dem Sicherheitskonzept Anwendungsdaten NSI sind für die Zeiterfassung unter anderem für die Identifikation der Erfassungsperson verschiedene Stammdaten erforderlich. Personenbezogene Daten sind nach dem Konzept der Name, der Vorname, das Geburtsdatum und die Soll-Arbeitszeit des Beschäftigten sowie eine "Ident.-Nummer".

Auf unsere Mitteilung, dass nicht ersichtlich sei, wozu zusätzlich zu der "Ident.-Nummer" das Geburtsdatum benötigt werde, erklärte das Finanzministerium, das Geburtsdatum sei ein Pflichtfeld des eingesetzten Programms. Es könne ohne aufwändige Programmierung nicht geändert und insofern aus wirtschaftlichen Gründen nicht entfernt werden. Die datenschutzrechtlichen Aspekte (Datenvermeidung/Datensparsamkeit) seien bekannt. Aus diesem Grund könne das Feld mit einem "Dummy-Geburtsdatum" versehen werden. Die Ressorts würden entsprechend unterrichtet. Sollte eine Dienststelle die Notwendigkeit des echten Geburtsdatums feststellen, könne jedoch auch dieses verwendet werden. Die Ausführungen im Konzept wurden dahingehend ergänzt, dass das Geburtsdatum mit dem Zusatz "(anwendungsbedingter Dummy)" versehen wurde.

Dies erweckt den Eindruck, als wollte das Finanzministerium sich alle Optionen erhalten: Einerseits bemühte es das Pflichtfeld-Argument und fügte im Konzept dem Geburtsdatum den Zusatz "(anwendungsbedingter Dummy)" bei, was letztlich bedeutet, dass in das Datenfeld Geburtsdatum ausschließlich ein "Dummy-Geburtsdatum" einzufügen ist. Andererseits setzte es sich dazu in Widerspruch, wenn es erklärte, dass es auch möglich sein solle, das echte Geburtsdatum zu verwenden, wenn eine Dienststelle die Notwendigkeit dazu feststelle. Das Konzept und die Stellungnahme passten daher nicht zusammen.

Vor diesem Hintergrund hätte es uns nicht mehr überraschen dürfen, dass wir bei einem Kontrollbesuch - von dem noch die Rede sein wird - feststellen mussten, dass eine Reihe von Dienststellen die tatsächlichen Geburtsdaten ihrer Beschäftigten in das Pflichtfeld eingegeben hatten, jedoch nicht dartun konnten, dass dies erforderlich war. Zur Begründung wurde beispielsweise erklärt, das tatsächliche Geburtsdatum sei entsprechend "der Bezeichnung des Feldes" oder gemäß der der Dienststelle "eingeräumten Wahlmöglichkeit" erfasst worden.

Ein solches (nicht erforderliches) Verarbeiten der tatsächlichen Geburtsdaten war rechtswidrig. In Anbetracht der datenschutzrechtlichen Verantwortung der Dienststellen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten hätten diese prüfen müssen, ob es auch vor dem Hintergrund des das Datenschutzrecht prägenden Erforderlichkeitsgrundsatzes zulässig war, die tatsächlichen Geburtsdaten der Beschäftigten zu verarbeiten. Der Verweis auf eine eingeräumte "Wahlmöglichkeit" erweckt den Eindruck, die Dienststelle sei davon ausgegangen, sie dürfe beliebig wählen, ob sie das tatsächliche Geburtsdatum oder ein "Dummy-Geburtsdatum" verwende, sie dürfe also personenbezogene Daten auch dann verarbeiten, wenn dies nicht notwendig ist. Die Annahme einer solchen Wahlmöglichkeit verkennt jedoch die Rechtslage.

Das Konzept zur kostenorientierten Zeit- und Mengenerfassung (KZM) - mit deren Hilfe sollen im Rahmen der Kosten- und Leistungsrechnung bestimmten Produkten Personalkosten verursachungsgerecht zugeordnet werden, um die (Personal-)Kosten dieser Produkte zu ermitteln - sieht unter anderem eine "Vollständigkeitsprüfung" vor. Diese soll erfolgen, wenn die Beschäftigten ihre den jeweiligen Produkten zugeordneten tatsächlichen Arbeitsstunden, die sie tagesgenau erfasst haben, am Monatsende freigegeben haben. Die mit der "Vollständigkeitsprüfung" Beauftragten sollen prüfen, ob alle Beschäftigten, die an der Zeiterfassung teilnehmen, ihre Daten in das System eingegeben haben. Hierfür wird, so das Konzept, ein Bericht bereitgestellt, "aus dem ersichtlich ist, wenn einzelne Mitarbeiter/Innen keine oder signifikant zu wenige/zu viele Stunden erfasst haben". Signifikant soll eine Abweichung regelmäßig dann sein, wenn sie mindestens 25 vom Hundert der Soll-Arbeitszeit des Beschäftigten beträgt; dies soll jedoch behördenindividuell variiert werden können. Der bereitgestellte Bericht enthält die entsprechenden Daten (unter anderem Name sowie Soll- und Ist-Arbeitszeit) aller Beschäftigten, die an der Zeiterfassung teilnehmen, wobei die Daten der Beschäftigten mit signifikanten Abweichungen optisch hervorgehoben sind. Für den im Konzept genannten Zweck reicht es jedoch aus, ausschließlich die Daten derjenigen Beschäftigten anzuzeigen, die (keine oder) signifikant zu wenige/zu viele Stunden erfasst haben. Eine Anzeige der Daten der anderen Beschäftigten ist dazu nicht erforderlich.

Das Finanzministerium führte dazu auf unsere Nachfrage aus, bei dem Bericht zur Vollständigkeitsprüfung handle es sich um einen Standardbericht des eingesetzten Programms. Dieser zeige dem für die Vollständigkeitsprüfung Zuständigen Soll- und Ist-Arbeitszeit der zu prüfenden Beschäftigten. Auf Vollständigkeit prüfen bedeute auch, alle Mitarbeiter auf schlichte Teilnahme an der KZM zu überprüfen.

Welche Zielrichtung dem letztgenannten Vortrag zugedacht war, konnten wir nicht feststellen. Ein Grund dafür, die Daten aller Beschäftigten anzuzeigen, ist diesem jedenfalls nicht zu entnehmen, denn bei Beschäftigten, die zwar verpflichtet sind, an der KZM teilzunehmen, jedoch gleichwohl keine Arbeitsstunden eingeben, läge eine signifikante Abweichung vor, die ohnehin angezeigt würde. Das Finanzministerium brachte sein ursprüngliches Argument in einer weiteren Stellungnahme nicht mehr vor.

Am Standardbericht-Argument hielt das Finanzministerium allerdings fest und führte dazu noch aus, eine Änderung dieses Berichts verursache einen erheblichen zusätzlichen Programmier- und Kostenaufwand und erfordere die Vergabe neuer Berechtigungsrollen.

Dazu ist ebenso wie zum oben angesprochenen Pflichtfeld-Argument auf § 9 LDSG hinzuweisen: Die Gestaltung und Auswahl der technischen Einrichtungen und der Verfahren zur automatisierten Verarbeitung personenbezogener Daten hat sich an dem Grundsatz auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten. Es sind die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften des Landesdatenschutzgesetzes entsprechende Datenverarbeitung zu gewährleisten. Erforderlich in diesem Sinne sind Maßnahmen, wenn ihr Aufwand, insbesondere unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten, in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Auch wenn die Auswahl des Verfahrens zur Verarbeitung personenbezogener Daten im Rahmen des Projekts NSI bereits erfolgt ist, besteht (weiterhin) die Pflicht, die Gestaltung dieses Verfahrens an den Grundsätzen der Datenvermeidung und Datensparsamkeit auszurichten. Inwieweit dies hinsichtlich des Standardberichts oder des Pflichtfelds der Fall ist, lassen die bisherigen Angaben des Finanzministeriums, die weder den Aufwand der Programmierung beziffern noch etwaige sonstige Wirtschaftlichkeitserwägungen enthalten, nicht erkennen.

Soweit zu ausgewählten Punkten aus den Konzepten. Nachdem mit der kostenorientierten Zeit- und Mengenerfassung (KZM/CATS) die Stufe 2 des Projekts NSI gestartet wurde, wollten sich meine Mitarbeiter so bald wie möglich in einer Pilotdienststelle, die CATS einsetzt, ein Bild von der datenschutzrechtlichen Ausgestaltung der Anwendung machen. Bei der Kontrolle von CATS wurden unter anderem folgende datenschutzrechtliche Mängel des Systems festgestellt:

• Unzureichende Passwortlänge
  Wenn man das CATS-Programm aufruft, muss man eine Benutzerkennung und ein Passwort eingeben, um das Programm bedienen zu können. Schon beim Datenschutzkonzept der Anwendung IS‑PS hatten wir darauf hingewiesen, dass die Länge eines Passworts, wie neuerdings vom Bundesamt für Sicherheit in der Informationstechnik empfohlen, acht Zeichen nicht unterschreiten sollte. Diese Empfehlung wäre uneingeschränkt auf das Teilsystem CATS übertragbar gewesen. Bedauerlicherweise mussten meine Mitarbeiter feststellen, dass die Einstellungen so vorgenommen wurden, dass vier Zeichen für ein Passwort ausreichten.
• Unberechtigter Zugriff auf alle Benutzer von CATS
  Ein Einstiegsdialog bei CATS erlaubte die Eingabe des Nachnamens, um auf das Arbeitszeitblatt des Benutzers zu gelangen. Allerdings ist es nicht notwendig, den ganzen Namen einzugeben. Es genügt, wenn man den Anfang eines Nachnamens gefolgt von einem "*" eingibt. Das System zeigt dann in einem weiteren Fenster alle Benutzer an, deren Nachnamen mit dem Namensfragment beginnt. So ist es meinen Mitarbeitern in mehreren Stichproben gelungen, sich Vornamen, Nachnamen, Dienststelle, verfahrensspezifische Personalnummer und - worüber nachfolgend noch zu reden sein wird - bisweilen das tatsächliche Geburtsdatum von beliebigen Bediensteten eines Ministeriums, eines Regierungspräsidiums, eines Staatlichen Hochbauamts, mehrerer Finanzämter und weiterer Dienststellen anzeigen zu lassen. Theoretisch hätten wohl alle Bediensteten der Landesverwaltung, deren Arbeitszeit mit dem System erfasst wird, angezeigt werden können.
• Unberechtigter Zugriff auf Name und Vorname
  Innerhalb von CATS hat jeder Bedienstete eine verfahrensspezifische Personalnummer. Gibt man in einem Einstiegsdialog des Arbeitszeitblatts eine Nummer ein, dann sucht das System nach dem Benutzer, dem diese Personalnummer zugeordnet ist. Durch Probieren konnten meine Mitarbeiter Namen und Vornamen einer Reihe von Mitarbeitern über deren verfahrensspezifische Personalnummer selektieren.
• Unzulässige Eingabe und Anzeige des Geburtsdatums
  In der Stellungnahme zum Datenschutzkonzept KZM/CATS hatten wir darauf hingewiesen, dass für die eindeutige Identifikation eines Benutzers das Geburtsdatum nicht notwendigerweise abgespeichert werden muss, wenn ohnehin eine systemweit eindeutige Benutzeridentifikation in Form der verfahrensspezifischen Personalnummer berechnet wird. Es genügt bei der Initialisierung des Systems, aus den mitzuteilenden Angaben die eindeutige verfahrensspezifische Personalnummer zu generieren. Da das System ein Feld für das Geburtsdatum vorsieht, machten wir den Vorschlag, in das Feld ein Surrogat-Datum - beispielsweise 01.01.2000 - einzugeben. Bedauerlicherweise folgte eine Reihe von Dienststellen diesem Vorschlag nicht. So kam es, dass bei den Stammdaten von vielen Bediensteten ihr tatsächliches Geburtsdatum angezeigt wurde. Immerhin haben die betreffenden Dienststellen auf unsere Nachfrage hin veranlasst, dass die tatsächlichen Geburtsdaten durch ein für alle ihre Beschäftigten identisches fiktives Geburtsdatum (etwa 01.01.2001) ersetzt werden.
• Unzulässige Anzeige der letzten sechs bebuchten Kostenstellen
  Wenn man die verfahrensspezifische Personalnummer oder den Namen eines Bediensteten kennt, kann man versuchen, sich dessen Arbeitszeitblatt anzeigen zu lassen. Es gelingt zwar nicht, die Arbeitszeitbuchungen zu erfahren. Allerdings werden die Kostenstellen angezeigt, die der Bedienstete bei den letzten sechs Buchungen angegeben hat. So hätte jeder Bedienstete Einblick nehmen können, welche Kostenstellen andere Bedienstete der Dienststelle - beispielsweise Vorgesetzte - bebucht haben.
• Nicht beschriebenes Freitextfeld
  Auf dem Arbeitszeitblatt jedes Benutzers war ein Symbol enthalten, das beim Anklicken ein aus einem großen Freitextfeld bestehendes Dialogfenster öffnet. Freitextfelder sind datenschutzrechtlich sehr problematisch, weil damit beliebige Eingaben und folglich Speicherungen erfolgen können. Üblicherweise hätte man erwarten können, dass das Freitextfeld im Datenschutzkonzept von CATS erwähnt und dass festgelegt worden wäre, was als Eingabe zulässig ist. Dies ist hier aber nicht geschehen. Die Erklärung der Projektverantwortlichen, dass das Freitextfeld von NSI nicht unterstützt würde, ist schon deshalb nicht plausibel, weil eine Eingabe und Speicherung in dem Feld natürlich möglich war und weiterhin ist. Wenn schon nicht technisch unterbunden werden soll, dass in das Feld keine Daten eingegeben werden können, dann ist eine Regelung im Datenschutzkonzept darüber erforderlich, was in das Freitextfeld eingegeben werden darf und wann die Daten zu löschen sind.

In ihrer Stellungnahme erklären die Projektverantwortlichen, dass einige der Mängel im Produktivsystem nicht mehr nachvollzogen werden könnten. Wenn dem so ist, dann sind diese erfreulicherweise ohne unser Zutun behoben worden. Die verbleibenden Mängel will das Projekt beseitigen.

Die aufgeführten Punkte zeigen auch, worauf an dieser Stelle ausdrücklich hingewiesen sei, wie wichtig es ist, dass die Behörden, auch wenn sie personenbezogene Daten im Rahmen eines ressortübergreifend eingesetzten Verfahrens verarbeiten, sich ihrer eigenen Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen bewusst sind und entsprechend handeln.

2. Prüfmitteilung des Rechnungshofs: Lektüre für alle interessierten Beschäftigten?

Auch wenn Prüfmitteilungen des Rechnungshofs personenbezogene Daten enthalten, befasst mein Amt sich nicht mit der Frage, wie der Inhalt der Prüfmitteilung oder die Art und Weise ihres Versands einschließlich der Adressierung durch den Rechnungshof datenschutzrechtlich zu beurteilen sind, denn der Rechnungshof unterliegt der datenschutzrechtlichen Aufsicht meines Amts nur außerhalb seiner Prüfungstätigkeit. Dagegen beurteilt mein Amt, und darum geht es im Folgenden, wie andere Stellen mit personenbezogenen Daten in Prüfmitteilungen umgehen.

Eine vom Rechnungshof geprüfte Behörde gab die Prüfmitteilung ungekürzt an alle Abteilungsleiter weiter. Zudem machte sie eine gekürzte Fassung der Prüfmitteilung, aus der ein Teil der Ausführungen zum Personal entfernt war, allen Beschäftigten zugänglich. Auch wenn die Behörde die Prüfmitteilung nur eingeschränkt weitergegeben hatte, wurde sie damit den datenschutzrechtlichen Anforderungen nicht gerecht: Einerseits durften nicht alle Abteilungsleiter eine ungekürzte Fassung der Prüfmitteilung bekommen und andererseits enthielt die gekürzte Fassung immer noch personenbezogene Daten, die nicht für alle Beschäftigten bestimmt waren. Im Einzelnen:

Die gekürzte Fassung der Prüfmitteilung enthielt unter anderem Angaben zu den "Fahrleistungen der Fahrer im Jahr 2000". Dabei war jedem der namentlich benannten Fahrer eine Kilometerzahl zugeordnet. Die Behörde leitete diese gekürzte Fassung an alle Abteilungsleiter und Referatsleiter elektronisch weiter mit der Bitte, ihre Mitarbeiter darüber zu informieren. Überwiegend wurden die Mitarbeiter mündlich informiert, jedoch wurden, so die Behörde unserem Amt gegenüber, auch Ausdrucke dieser gekürzten Mitteilung "interessierten Bediensteten zur Einsicht überlassen".

Die genannten Kilometerzahlen seien doch gar keine personenbezogenen Daten, weil sie, anders als dies aus der Prüfmitteilung hervorgehe, nicht die Kilometerleistungen der Fahrer wiedergeben würden, sondern diejenigen bestimmter Fahrzeuge. Dieser Argumentation der Behörde war nicht zu folgen, denn Kilometerzahlen sind dann personenbezogene Daten der Fahrer, wenn sie ihnen als ihre Jahresfahrleistungen zugeordnet sind. Genau das war hier der Fall: Die Kilometerzahlen wurden ausdrücklich jeweils bestimmten Fahrern zugeordnet; Anhaltspunkte dafür, dass es sich dabei um die Kilometerleistungen bestimmter Fahrzeuge handelt, waren der Prüfmitteilung auch nicht andeutungsweise zu entnehmen. Ob die bestimmten Fahrern als Jahresfahrleistungen zugeordneten Kilometerzahlen auch tatsächlich deren Jahresfahrleistungen entsprachen, ist für die Frage, ob sie personenbezogene Daten sind, ohne Bedeutung, denn es handelte sich jedenfalls um (gegebenenfalls unrichtige) Angaben über die Fahrer.

Bei der Weitergabe dieser (wenn auch unrichtigen) personenbezogenen Daten der Fahrer musste die Behörde unter anderem den Grundsatz der Erforderlichkeit beachten. Dass sie das getan hat, war nicht festzustellen. Insbesondere hat die Behörde nicht dargelegt, wozu jeder Abteilungsleiter und jeder Referatsleiter die Jahresfahrleistungen jedes Fahrers kennen musste. Erst recht war nicht ersichtlich, wozu jeder einzelne Beschäftigte diese Daten kennen musste. Auch wenn, wie die Behörde vortrug, der Rechnungshof jeden einzelnen Beschäftigten befragt hatte und so jeder einzelne Beschäftigte in die Prüfung der Haushalts- und Wirtschaftsführung der Behörde durch den Rechnungshof eingebunden war, rechtfertigte dies nicht, allen "interessierten" Beschäftigten personenbezogene Daten anderer Beschäftigter zugänglich zu machen. Die Weitergabe der personenbezogenen Daten der Fahrer war daher rechtswidrig.

Die ungekürzte Prüfmitteilung enthielt im personalwirtschaftlichen Teil unter anderem Ausführungen zur Eingruppierung namentlich benannter Beschäftigter. Wozu jeder Abteilungsleiter einen Ausdruck der ungekürzten Prüfmitteilung benötigte, der auch personenbezogene Daten derjenigen Betroffenen enthielt, die nicht in seiner Abteilung beschäftigt waren, konnte die Behörde nicht dartun. Dass eine Prüfmitteilung, so die Behörde, eine wichtige, die Behördenleitung betreffende Angelegenheit ist, rechtfertigte die Weitergabe der personenbezogenen Daten nicht.

Ich habe diese datenschutzrechtlichen Verstöße beanstandet und das zuständige Ministerium um Stellungnahme dazu bis Mitte Januar nächsten Jahres aufgefordert.

3. System "Fortbildung 21"

Auf Wunsch der Führungsakademie Baden-Württemberg berieten wir diese im Rahmen mehrerer Besprechungen und Schreiben zum System "Fortbildung 21". Dieses umfasst zunächst ein Bildungsmanagementsystem, das von Landesbehörden und deren Beschäftigten über das Landesverwaltungsnetz genutzt werden soll: Unter anderem sollen sich alle an Bildungsmaßnahmen Interessierten elektronisch über die Bildungsangebote informieren und anmelden können. Die administrative Abwicklung der Fortbildung (etwa die Anmeldung zu Veranstaltungen sowie der Versand von Einladungen und Teilnahmebestätigungen) soll möglichst weitgehend elektronisch erfolgen. Gegenstand unserer Beratung, die sich im Wesentlichen auf die datenschutzrechtlichen Beziehungen zwischen der Führungsakademie und (künftigen) Teilnehmern an Bildungsmaßnahmen bezog, war unter anderem Folgendes:

• Generell wiesen wir auf den Grundsatz der Erforderlichkeit hin. Dieser besagt im Wesentlichen, dass eine Verarbeitung (also etwa das Erheben, die Weitergabe und das Speichern) personenbezogener Daten nur zulässig ist, soweit sie notwendig ist, um den damit verfolgten Zweck zu erreichen. Die Zulässigkeit der Verarbeitung personenbezogener Daten hängt daher mit von dem Zweck ab, den die Daten verarbeitende Stelle jeweils verfolgen möchte.
• Im Konzept war beispielsweise ursprünglich vorgesehen, dass das Landesamt für Besoldung und Versorgung Baden-Württemberg der Führungsakademie allmonatlich bestimmte personenbezogene Daten aller Beschäftigten des Landes (unter anderem Personalnummer, Name und Vorname, Geburtsdatum, Laufbahn und Status) übermittelt. Dabei war nicht ersichtlich, wozu die Führungsakademie die Daten auch derjenigen Beschäftigten benötigt, die weder gegenwärtig noch in absehbarer Zeit an einer Maßnahme teilnehmen. Vielmehr dürften für die Durchführung der Fortbildung die von den Teilnehmern bei ihrer Anmeldung angegebenen Daten genügen. Die Führungsakademie erklärte daraufhin, von einem solchen Datenabgleich abzusehen.
• Mit Blick darauf, dass die Personalnummer sowie Vor- und Nachname wegen Namensgleichheiten der eindeutigen Identifizierung des Betroffenen dienen, haben wir keine Bedenken dagegen geltend gemacht, dass die Angabe dieser Daten zur Voraussetzung der elektronischen Anmeldung gemacht wird und diese Daten zur Identifizierung der Teilnehmer bei der Anmeldung verarbeitet werden. Davon zu unterscheiden ist ein Einsatz der Personalnummer im Anschluss daran zur Durchführung der Fortbildung, etwa als Kundennummer oder zur Prüfung der Zugangsberechtigung bei einer Anmeldung am System. Ein solches weitergehendes Verarbeiten der Personalnummer ist aus Sicht des Datenschutzes kritisch zu betrachten, weil die Personalnummer objektiv die Funktion eines einheitlichen Personenkennzeichens hat, das einen automatisierten Datenabgleich sowie eine automatisierte Zusammenführung personenbezogener Daten jedenfalls erleichtern kann; dessen Einsatz ist daher möglichst zu vermeiden.
• Weiter sollen von künftigen Teilnehmern Amts- und Dienstbezeichnung, Laufbahnbezeichnung sowie Statusbezeichnung erfragt werden. Als Zweck, zu dem die Daten verarbeitet werden sollen, waren unter anderem Zielgruppenzusammenstellung und Teilnehmerzusammensetzung genannt. Bei der Frage nach der Zulässigkeit dieser Datenverarbeitung kommt es auch darauf an, inwieweit anstelle der konkreten Amts- und Dienstbezeichnung etwa die Laufbahnbezeichnung - soweit diese sich als erforderlich erweisen sollte - genügt, um den angestrebten Zweck zu erreichen.
• Ein weiterer Diskussionspunkt war, an welche (elektronische) Anschrift Mitteilungen zu einer Maßnahme zu senden sind, etwa Einladungen der Teilnehmer zu Veranstaltungen oder Mitteilungen an deren Dienststellen, ob die Maßnahme tatsächlich stattfindet, zu der ein Beschäftigter angemeldet ist. Da die (vorgesehene oder erfolgte) Teilnahme an einer bestimmten Maßnahme regelmäßig vertraulich zu behandeln ist, dürfen entsprechende Unterlagen nicht an eine allgemeine (E-Mail-)Adresse der Dienststelle (etwa poststelle@...) gesandt werden. Vielmehr ist sicherzustellen, dass nur die bei den zuständigen Stellen jeweils zuständigen Personen oder die Teilnehmer persönlich von diesen Nachrichten (per E-Mail oder in Papierform) Kenntnis nehmen können.
• Wir wiesen die Führungsakademie darauf hin, dass die bei ihr gespeicherten personenbezogenen Daten über Fortbildungen zu löschen sind, sobald sie diese nicht mehr zur Erfüllung ihrer Aufgaben benötigt, also sobald die konkrete Maßnahme hinsichtlich des Teilnehmers abgeschlossen und abgewickelt ist, d. h. insbesondere die Teilnahmebescheinigungen versandt und die Fortbildungskosten abgerechnet sind.

4. Die zurückgenommene Bewerbung

Weil er es sich anders überlegt hatte, zog ein Lehrer seine Bewerbung um eine Schulleiterstelle zurück. Seine schriftliche Rücknahmeerklärung ging bei der Schulverwaltung an einem Montag ein. Vier Arbeitstage später, am darauf folgenden Freitag, versandte die Schulverwaltung unter anderem an die Gemeinde als Schulträger und an die Schulkonferenz der betreffenden Schule Bewerberübersichten. Diese enthielten unter anderem das Geburtsdatum, den Familienstand, die Zahl der Kinder, die Privatanschrift, die bisherigen Dienststellen, Ausführungen zu besonderen Tätigkeiten im schulischen Bereich sowie Eignungsbewertungen mit aussagekräftigen Begründungen (Anlassbeurteilungen) der Bewerber - doch nicht nur dieser, sondern auch des ehemaligen Bewerbers. Warum die Schulverwaltung die personenbezogenen Daten des Lehrers, der seine Bewerbung bereits vor Tagen zurückgezogen hatte, in die Bewerberübersicht aufnahm und an die genannten Stellen versandte, konnten wir nicht nachvollziehen. Die Verweis der Schulverwaltung auf einen "engen" Zeitablauf liefert dafür keine Erklärung. So wie sich die Angelegenheit uns darstellt, fand die Rücknahme der Bewerbung bei der Schulverwaltung einfach zu spät ihren Weg in die Akte zum Bewerbungsverfahren. Ich habe diesen datenschutzrechtlichen Verstoß beanstandet und die Schulverwaltung aufgefordert, bis Ende Januar nächsten Jahres dazu Stellung zu nehmen und dabei auch darauf einzugehen, durch welche Maßnahmen solche datenschutzrechtlichen Verstöße künftig verhindert werden sollen.

3. Abschnitt: Schul- und Hochschulwesen

1. Einladung zur Selbstbedienung: Schlecht konfigurierte Mailinglisten

Längst ist die Nutzung von E-Mails zur Kommunikation aus dem wissenschaftlichen Bereich nicht mehr wegzudenken. Um die Hochschulangehörigen zielgerichtet informieren zu können, haben zahlreiche Hochschulen Mailinglisten zu verschiedensten Themen eingerichtet. Jede dieser Listen enthält die E-Mail-Adressen sämtlicher Personen, die sich für das jeweilige Thema interessieren und sich daher als Teilnehmer der Mailingliste angemeldet haben. Wer sich zu einem solchen Thema äußern möchte, muss nur eine Mail an die entsprechende Mailingliste senden. Der Listenserver sorgt dann dafür, dass die Nachricht umgehend an alle in der Liste genannten E-Mail-Adressen weitergeleitet wird.

Die Eingabe eines Bürgers machte uns darauf aufmerksam, dass sich jeder Internet-Nutzer eine Liste mit mehr als 2 600 E-Mail-Adressen von einer von der Fachhochschule betriebenen Mailingliste mit dem Titel "Parties" abrufen konnte. Daraufhin durchgeführte stichprobenweise Überprüfungen machten deutlich, dass diese Problematik keineswegs nur auf diese eine Fachhochschule beschränkt war. Vielmehr war es auch an zwei Universitäten möglich, die Teilnehmer einer Reihe von Mailinglisten abzurufen. In einem Fall konnte jeder Internet-Nutzer die E-Mail-Adressen sämtlicher Teilnehmer der Mailinglisten für Bewohner verschiedener Studentenwohnheime, für VWL-Studenten, für Mitarbeiter der Universitätsbibliothek, für Hilfskräfte des Rechenzentrums, für Fragen zum Thema "Jobticket" sowie die Teilnehmer einer Reihe weiterer Mailinglisten in Erfahrung bringen. Im anderen Fall ließen sich beispielsweise Teilnehmer von Mailinglisten wie "ersties", "fechten", "photo-ak" oder "windows-ag" abrufen.

Bei der datenschutzrechtlichen Beurteilung dieser Abrufmöglichkeiten ist zu berücksichtigen, dass E-Mail-Adressen vielfach den vollen Vor- und Zunamen der Mailinglisten-Nutzer offenbaren. Hinzu kommt, dass sich aus der Zuordnung der Teilnehmer zu den Listen sowie den in den Einträgen zum Teil enthaltenen zusätzlichen personenbezogenen Anmerkungen weitere Erkenntnisse über diese Personen ergeben. Ist eine personenbezogene E-Mail-Adresse mehreren Mailinglisten zugeordnet, so ergibt sich dadurch ein noch deutlicheres Interessenprofil dieser Person. Ferner ist zu bedenken, dass die genannten Daten ohne weiteres auch von Adresshändlern oder sonstigen Internet-Nutzern abgerufen werden können, die diese Daten möglicherweise zur Vervollständigung ihrer Datenbestände oder zur Übersendung unverlangter E-Mail-Werbung (SPAM) verwenden können, die viele Internet-Nutzer belästigt.

In keinem der Fälle hatten die Betroffenen ihre Einwilligung zu der Abrufmöglichkeit erteilt. Da zudem eine solche Abrufmöglichkeit zum sachgerechten Betrieb der Mailinglisten nicht notwendig ist, ist es datenschutzrechtlich nicht zulässig, sämtlichen Nutzern des Internets derart umfassende Möglichkeiten zum Abruf personenbezogener Daten zu bieten. Um diesen datenschutzrechtlichen Mangel abzustellen, habe ich die Hochschulen aufgefordert, die bestehenden Abrufmöglichkeiten umgehend zu unterbinden und sicherzustellen, dass diese oder ähnliche Abrufmöglichkeiten weder bei den übrigen bereits vorhandenen Mailinglisten noch bei künftig neu eingerichteten Mailinglisten genutzt werden können. Alle betroffenen Hochschulen sagten daraufhin zu, ihre Mailinglisten künftig so zu betreiben, dass ein solcher Abruf nicht mehr möglich ist.

Einige Monate später stellten wir jedoch fest, dass die Hochschulen diese Zusagen nur zum Teil eingehalten hatten:

• Die erwähnte Fachhochschule ließ zwar nun keinen Abruf der Teilnehmer der Liste "Parties" zu, sie hatte jedoch mittlerweile eine neue Mailingliste eingerichtet, über die erneut mehr als 2 600 E-Mail-Adressen abgerufen werden konnten. Als Begründung gab sie dazu an, dass sie die Teilnehmer der Liste "Parties" vor deren Konfigurationsänderung in eine andere Liste kopiert habe, es dann aber versäumte, diese Liste nach erfolgter Änderung wieder zu löschen oder zumindest auch für diese Liste die Abrufmöglichkeit sämtlicher E-Mail-Adressen in gleicher Weise zu sperren.
• Bei beiden erwähnten Universitäten bestanden die zunächst festgestellten Abrufmöglichkeiten zwar nicht mehr, gleichwohl war es auch dort möglich, erneut eine Vielzahl von E-Mail-Adressen aus Mailinglisten-Servern in Erfahrung zu bringen:
• Im einen Fall war auf die von uns zunächst verwendete Weise keine Auskunft über E-Mail-Adressen mehr zu erhalten. Mit Hilfe einer anderen Abfrageart gelang es jedoch, mehr als 30 000 E-Mail-Adressen sowie deren Zuordnung zu den jeweils gewünschten Mailinglisten abzurufen.
• Die andere Universität hatte den ursprünglich betroffenen Mailinglisten-Server durch ein anderes Produkt ersetzt, das nicht mehr auf die genannte Weise Auskunft über E-Mail-Adressen gab. Daneben gab es jedoch noch weitere Mailinglisten-Server der Universität, die einen Abruf von E-Mail-Adressen zuließen.

Aufgrund des wiederholten Auftretens sprach ich in diesen Fällen eine Beanstandung aus. Daneben stellten wir bei ergänzenden stichprobenweisen Überprüfungen fest, dass noch zwei weitere Universitäten und eine Fachhochschule Mailinglisten betrieben, die ohne weiteres jedem Internet-Nutzer die E-Mail-Adressen der Listenteilnehmer mitteilten. In einigen Fällen waren dabei neben der E-Mail-Adresse noch weitere Kommentare abrufbar wie z. B. "Amnesty", "Frieden", "RCDS", "Frauenreferat" oder "JuSo". Den zuständigen Administratoren war dabei durchweg die Abrufmöglichkeit nicht bewusst. Nachdem wir sie darauf hingewiesen hatten, sagten sie zu, die Abrufmöglichkeiten umgehend zu unterbinden.

Da es sich dabei nicht nur um ein örtliches Problem handelt, habe ich auch das Wissenschaftsministerium hierüber informiert und es aufgefordert, sämtliche Hochschulen auf die Problematik hinzuweisen und dafür Sorge zu tragen, dass derartige unzulässige Abrufmöglichkeiten künftig nicht mehr eingerichtet werden.

2. Private E-Mails an einen Universitätsprofessor sind im Internet fehl am Platze

In einem weiteren an uns herangetragenen Fall hatte ein Universitätsprofessor von einer ehemaligen Studentin einige E-Mails erhalten. Diese E-Mails waren im Wesentlichen privater Natur. Daneben hatte eine der E-Mails darüber hinaus einen konkreten Bezug zur Lehrtätigkeit der Universität: Die ehemalige Studentin wies auf ein Praktikumsgesuch eines ihrer Kollegen hin, welches für Studenten der Universität geeignet sein könnte. Das Praktikumsgesuch war der E-Mail in Gestalt eines abtrennbaren Textes beigefügt. Die Universität setzte dieses Praktikumsgesuch auf ihre Mailingliste, um durch diese Veröffentlichung im Internet das Angebot mit großer Streubreite publik zu machen.

Datenschutzrechtliche Probleme ergaben sich dadurch, dass von Seiten der Universität neben dem Praktikumsgesuch auch die E-Mails mit persönlichem Inhalt in die Mailingliste aufgenommen wurden. Denn diese E-Mails waren nicht für die Universität, sondern allein für den angeschriebenen Professor bestimmt. Deren Veröffentlichung im Internet war auch in keiner Weise geeignet, die Tätigkeit der Universität in Forschung, Lehre, Studium und Weiterbildung zu fördern. Eine gesetzliche Ermächtigung für eine solche Veröffentlichung privater E-Mails besteht nicht. Die Veröffentlichung in der Mailingliste hätte allenfalls auf der Grundlage einer ausdrücklichen Einwilligung der ehemaligen Studentin erfolgen können. Eine solche lag aber nicht vor. Auch eine nach geltendem Datenschutzrecht ohnehin von vornherein grundsätzlich ausgeschlossene stillschweigende Einwilligung war den privaten E-Mails nicht zu entnehmen. In diesem Zusammenhang wurde deutlich, dass bei der Universität ein grundlegendes Missverständnis bestanden hatte. Allein aus der Tatsache, dass sich die ehemalige Studentin durch Übersendung von E-Mails eines automatisierten Datenverarbeitungssystems bedient hatte, wurde geschlossen, dass sie schon deshalb die Öffentlichkeit bzw. Veröffentlichung ihrer Mitteilungen in Kauf genommen und damit akzeptiert hatte. Wir haben gegenüber der Universität klargestellt, dass diese Deutung absolut unzutreffend ist.

Damit aber nicht genug. Weitere Probleme zeigten sich bei dem Versuch, die privaten E-Mails zu löschen. Denn die Universität bediente sich für den Betrieb der Mailingliste eines privaten, in den USA ansässigen Providers. Nach dessen Nutzungsbedingungen war die vollständige Löschung von Nachrichten (auch aus dem angebotenen Archiv) nur für solche Nachrichten möglich, die im laufenden Monat erstellt wurden. Erst nach einiger Zeit hat dieser Provider die Löschung der E-Mails aus dem Archiv dann doch vorgenommen. Daher haben wir die Universität auch darauf aufmerksam gemacht, dass sie beim Betrieb einer Mailingliste dafür Sorge zu tragen hat, dass sich einzelne Nachrichten bei Bedarf jederzeit ohne weiteres löschen lassen.

3. Eine fehlgeschlagene Aktenaussonderung

Spaziergänger staunten nicht schlecht, als sie auf einem Acker im Raum Tübingen klein gerissene, aber noch lesbare Bewerbungsunterlagen einer jungen Wissenschaftlerin, Reisekostenabrechungen sowie weitere vertrauliche Papiere eines Sonderforschungsbereichs der Universität Tübingen fanden. Folgendes war geschehen:

Mitarbeiter des Sonderforschungsbereichs hatten diese Unterlagen in einem Papiersack an die Straße gestellt, wo sie von einem Fahrer der Universität abgeholt und in zentralen Aktenvernichtern zerkleinert werden sollten. Bevor dieser Fahrer kam, nahm jedoch bereits die städtische Grüngutabfuhr den Papiersack mit. Die Unterlagen wurden daher wie das Grüngut nur grob gehäckselt und danach an Landwirte abgegeben. So kam es, dass ein Landwirt die nach wie vor gut lesbaren Unterlagen auf seinem Acker verstreute.

Unser Kontrollbesuch ergab, dass es die Universität nicht nur in diesem Einzelfall an der notwendigen Sorgfalt bei der Entsorgung schutzbedürftiger Papierunterlagen hatte fehlen lassen, sondern dass sie diesem Thema generell zu wenig Aufmerksamkeit schenkte:

• Unzulänglichkeiten beim Sammeln des zur Vernichtung vorgesehenen Papiers
  Die Zentrale Verwaltung der Universität stellt den Instituten braune Papiersäcke mit der Aufschrift "Papierabfälle" zur Verfügung. In diesen Säcken sammeln die Institute sowohl Altpapier als auch schutzbedürftige Unterlagen mit personenbezogenen Daten, die später in den zentralen Aktenvernichtern zerkleinert werden sollen. Im letzteren Fall beschriften die anliefernden Institute die Säcke vielfach mit einem Hinweis wie z. B. "Reißwolf". Gelegentlich finden Hausmeister in den Fluren abgestellte und mit "Papier" beschriftete Plastiksäcke, die sie einsammeln; sie entscheiden nach Sichtung des Inhalts, ob sie die betreffenden Unterlagen im Aktenvernichter zerkleinern. Die vielen tagtäglich zentral angelieferten Papiersäcke, die keinen handschriftlichen Hinweis tragen, werden unbesehen zum Altpapier gegeben. Dass sich in solchen Papiersäcken nicht nur Altpapier, sondern auch Unterlagen mit personenbezogenen Daten befinden, zeigte sich indes beim Kontrollbesuch. In dem über mannshoch mit solchen Papiersäcken gefüllten Altpapierkeller fanden sich auch personenbezogene Unterlagen, wie z. B. eine größere Zahl von Anmeldebescheinigungen, aus denen ersichtlich war, dass sich im Rahmen der internationalen Sprachprogramme der Universität Tübingen beispielsweise eine namentlich genannte Studentin für einen Konversationskurs, ein Student für den Kurs "Diskutieren, Argumentieren, Referieren" und wiederum eine andere Studentin für den Kurs "Kunst etc. des deutschen Expressionismus" angemeldet hat und wie viel Euro sie jeweils für den Kurs bezahlt haben. Wir forderten die Universität daher auf, ihre bisherige Praxis zu ändern, die wegen der Verwendung von ein und denselben Papiersäcken zum Sammeln von Altpapier und zum Sammeln von Unterlagen mit personenbezogenen Daten geradezu darauf angelegt ist, dass es bei der Vernichtung von Unterlagen mit personenbezogenen Daten zu Verstößen gegen das Datengeheimnis kommt.
• Unzureichende organisatorische Vorgaben für die Aktenvernichtung
  In dem von der Universitätsverwaltung geführten "Handbuch der Verwaltung" wird die Vernichtung von Papierunterlagen lediglich im Zusammenhang mit der Abgabe von Unterlagen nach Ablauf der jeweiligen Aufbewahrungsfristen an das Archiv der Universität angesprochen. Darüber hinaus gibt es keine schriftlichen Regelungen der Universitätsverwaltung über die Vernichtung von Unterlagen, die personenbezogene Daten enthalten. Es sei vielmehr, so sieht es die Universitätsverwaltung, Sache eines jeden Bediensteten, sich selbst um eine datenschutzgerechte Vernichtung der tagtäglich im laufenden Betrieb anfallenden Unterlagen mit personenbezogenen Daten zu kümmern. Das Fehlen schriftlicher Regelungen über die Aussonderung und Vernichtung von Unterlagen mit personenbezogenen Daten dürfte jedoch ganz erheblich dazu beigetragen haben, dass es überhaupt zu dem Vorfall kam. Es war daher zu begrüßen, dass die Vertreter der Zentralen Verwaltung noch beim Kontrollbesuch angekündigt haben, die Institute und Einrichtungen der Universität per Rundschreiben an die Einhaltung des Datenschutzes bei der Vernichtung von Unterlagen mit personenbezogenen Daten zu erinnern.
• DIN-Norm für Vernichtung beachten
  Unterlagen mit personenbezogenen Daten fallen nach dem Sprachgebrauch der DIN 32757 in die Klasse der vertraulichen Unterlagen, für die in der Regel eine Vernichtung zumindest nach Sicherheitsstufe 3 vorzunehmen ist. Für einen Streifenschnitt bedeutet dies, dass die Streifenbreite nicht mehr als 2 Millimeter betragen darf. Sonstige Partikel dürfen nicht größer als 800 Quadratmillimeter groß sein. Diesen Anforderungen wurde der größere der beiden zentralen Aktenvernichter nicht gerecht. Wir forderten die Universität daher auf, dieses Gerät sowie eventuelle weitere, die den Anforderungen der DIN 32757 nicht gerecht werden, durch entsprechend leistungsfähigere Geräte zu ersetzen oder dafür Sorge zu tragen, dass zerschnittene Unterlagen durch weitere Arbeitsschritte (z. B. Verbrennung) so behandelt werden, dass die Kenntnisnahme der ursprünglich darauf enthaltenen personenbezogenen Daten zuverlässig verhindert werden kann.

Um künftig besser vor solchen Vorkommnissen geschützt zu sein, forderten wir die Universitätsverwaltung auf, für ihren eigenen Bereich sowie auch für die Institute und sonstigen Einrichtungen der Universität schriftliche Regelungen über die Vernichtung von Unterlagen mit personenbezogenen Daten zu treffen und allen Bediensteten bekannt zu geben. Neben den bereits erwähnten sollten darin insbesondere folgende Punkte angesprochen werden:

• Vor dem Abholen dürfen schutzbedürftige Papierabfälle nicht in Papiersäcken oder anderen offenen Behältern gesammelt werden. Stattdessen sind Behälter zu verwenden, die verhindern, dass einmal eingeworfene Unterlagen vor ihrer Vernichtung ohne weiteres wieder herausgeholt werden können.
• Schutzbedürftige Unterlagen dürfen auch zum Abholen nicht für jedermann frei zugänglich abgestellt werden, sondern sind dem Abholer entweder persönlich zu übergeben oder in einem verschlossenen Raum zum Abholen bereitzustellen.
• Die von den Gebäudereinigungsunternehmen eingesetzten Reinigungskräfte müssen auf das Datengeheimnis verpflichtet werden. Dies gilt auch dann, wenn Zweifel daran bestehen, ob die Reinigungskräfte der deutschen Sprache ausreichend mächtig sind. In solchen Fällen bietet sich die Verwendung mehrsprachiger Hinweisblätter und Vordrucke an.

Die Universität hat sich bislang noch nicht abschließend dazu geäußert, wie sie dem Datenschutz bei der Vernichtung schutzbedürftiger Papierunterlagen künftig Rechnung tragen will.

4. Handlungsfähigkeit minderjähriger Schülerinnen und Schüler

Das Kultusministerium hat im Jahr 2003 die fast zehn Jahre alte Verwaltungsvorschrift über die Verarbeitung von Schüler- und Elterndaten durch öffentliche Schulen umfassend überarbeitet und die Neufassung zum 1. November 2003 in Kraft gesetzt. Aufgrund unserer frühzeitigen Beteiligung durch das Ministerium konnten wir im Rahmen der Erarbeitung der neuen Verwaltungsvorschrift verschiedene datenschutzrechtliche Belange zur Geltung bringen. Ein wichtiges Thema war dabei die Frage, ob und in welchem Umfang minderjährige Schülerinnen und Schüler in datenschutzrechtlicher Hinsicht selbstständig handlungsfähig sind. Diese Frage hat insoweit ganz erhebliche praktische und rechtliche Bedeutung, als beim Vorliegen einer solchen Handlungsfähigkeit die Eltern bzw. Erziehungsberechtigten der minderjährigen Schüler nicht gehalten sind, stellvertretend für diese aufzutreten und z. B. gegenüber der Schule Rechte geltend zu machen oder rechtswirksame Erklärungen abzugeben. In datenschutzrechtlicher Hinsicht ist dabei von folgenden Überlegungen auszugehen:

Nach einer der Kernvorschriften des Landesdatenschutzgesetzes ist eine Datenverarbeitung unter anderem dann zulässig, wenn der Betroffene darin eingewilligt hat. Für die Fähigkeit, eine solche Einwilligung selbstständig zu erklären, kommt es - anders als etwa bei den Vorschriften des Bürgerlichen Gesetzbuchs über die Geschäftsfähigkeit mit dem "Stichtag" der Vollendung des 18. Lebensjahres - allein auf die Einsichtsfähigkeit eines Minderjährigen an. Diese datenschutzrechtliche Einsichtsfähigkeit liegt vor, wenn ein Minderjähriger nach seinem ganz individuellen Reifegrad in der Lage ist, die Bedeutung und Tragweite der ebenfalls individuell zu betrachtenden konkreten Datenverarbeitung zu beurteilen. Vor diesem Hintergrund kommt eine "starre" Altersgrenze dafür nicht in Betracht.

Das Kultusministerium hat diese Überlegungen bei der Neufassung der Verwaltungsvorschrift nur teilweise umgesetzt. Die Verwaltungsvorschrift sieht nun vor, dass alle Rechte von minderjährigen Schülern, mit Ausnahme der Einwilligung in die Datenverarbeitung personenbezogener Daten, allein durch deren Erziehungsberechtigte ausgeübt werden. Dagegen ist die Frage der Handlungsfähigkeit minderjähriger Schüler hinsichtlich der Einwilligung in die Datenverarbeitung nun erstmals deutlich und detailliert geregelt.

Danach ist festzuhalten: Die nötige Einsichtsfähigkeit minderjähriger Schüler ist nach dem jeweiligen Reifegrad des Schülers und dem Verwendungszusammenhang der Daten zu beurteilen. Sie liegt nicht vor, wenn der Schüler die Folgen einer Verarbeitung der jeweiligen Daten nicht erkennen und sachgerecht einschätzen kann. Mit Vollendung des 16. Lebensjahres ist - im Sinne einer Regelannahme - grundsätzlich vom Vorliegen der Einsichtsfähigkeit auszugehen. Diese Altersgrenze ist nach oben und nach unten flexibel: In einfach gelagerten Fällen kann z. B. bereits ein 14 Jahre alter Schüler die erforderliche Einsichts- und Handlungsfähigkeit besitzen; in schwierigen Fällen von großer Bedeutung und Tragweite kann es auch einem 17 Jahre alten Schüler an der erforderlichen Einsichts- und Handlungsfähigkeit mangeln. Bei der Einwilligung in die Veröffentlichung von personenbezogenen Daten im Internet, insbesondere wenn es sich um Bilder von Schülerinnen bzw. Schülern handelt, sind besonders hohe Anforderungen an das Vorliegen der Einsichts- und Handlungsfähigkeit zu stellen.